J'ai trouvé un truc bizarre, non repéré par Symantec & McAfee (les 2 à
jour évidemment...)
Dans C:\Windows\System, WinUpdate.exe, taille 5120 octets.
Compressé avec UPX, et scramblé pour éviter la décompression.
Il reste résident en mémoire, et crée des entrées dans LOCAL__MACHINE /
Windows / Run & CURRENT_USER / Windows / Run.
Un core-dump montre un téléchargement de fichiers de configurations
depuis http://oriongalaxy.com (adresse qui ne répond pas actuellement)
Ce nom de domaine est déposé en russie, de manière anonyme.
Le plus simple c'est que tu en envoies une copie (compressée non cryptée) ici: L'AV Kaspersky qui écoute derrière te dira ce que c'est. Tu peux aussi me l'envoyer (cf mon reply-to -- compréssée cryptée). Mais je ne serais pas aussi rapide ;-)
Sinon, je dirais que ça ressemble assez à : http://symantec.com/avcenter/venc/data/w32.hllw.warpigs.b.html
-- joke0
Salut,
Mathieu MARCIACQ:
(Je tient à votre disposition le .exe....)
Le plus simple c'est que tu en envoies une copie (compressée non
cryptée) ici: submit-virus@avp.ch L'AV Kaspersky qui écoute
derrière te dira ce que c'est. Tu peux aussi me l'envoyer (cf mon
reply-to -- compréssée cryptée). Mais je ne serais pas aussi rapide ;-)
Sinon, je dirais que ça ressemble assez à :
http://symantec.com/avcenter/venc/data/w32.hllw.warpigs.b.html
Le plus simple c'est que tu en envoies une copie (compressée non cryptée) ici: L'AV Kaspersky qui écoute derrière te dira ce que c'est. Tu peux aussi me l'envoyer (cf mon reply-to -- compréssée cryptée). Mais je ne serais pas aussi rapide ;-)
Sinon, je dirais que ça ressemble assez à : http://symantec.com/avcenter/venc/data/w32.hllw.warpigs.b.html
-- joke0
Mathieu MARCIACQ
Jok0 : Envoyé par email....
Mais la taille (5120 octets) ne correspond pas à warpigs....
De plus, il n'est détecté par aucun des 3 antivirus que j'ai essayé (Norton, McAfee online, Kaspersky Online) (Norton à jour évidemment) Je precise aussi que le test des 3 antivirus a été fait depuis un autre PC, non infecté....
Merci.
joke0 wrote:
Salut,
Mathieu MARCIACQ:
(Je tient à votre disposition le .exe....)
Le plus simple c'est que tu en envoies une copie (compressée non cryptée) ici: L'AV Kaspersky qui écoute derrière te dira ce que c'est. Tu peux aussi me l'envoyer (cf mon reply-to -- compréssée cryptée). Mais je ne serais pas aussi rapide ;-)
Sinon, je dirais que ça ressemble assez à : http://symantec.com/avcenter/venc/data/w32.hllw.warpigs.b.html
-- joke0
Jok0 : Envoyé par email....
Mais la taille (5120 octets) ne correspond pas à warpigs....
De plus, il n'est détecté par aucun des 3 antivirus que j'ai essayé
(Norton, McAfee online, Kaspersky Online)
(Norton à jour évidemment)
Je precise aussi que le test des 3 antivirus a été fait depuis un autre PC,
non infecté....
Merci.
joke0 wrote:
Salut,
Mathieu MARCIACQ:
(Je tient à votre disposition le .exe....)
Le plus simple c'est que tu en envoies une copie (compressée non
cryptée) ici: submit-virus@avp.ch L'AV Kaspersky qui écoute
derrière te dira ce que c'est. Tu peux aussi me l'envoyer (cf mon
reply-to -- compréssée cryptée). Mais je ne serais pas aussi rapide ;-)
Sinon, je dirais que ça ressemble assez à :
http://symantec.com/avcenter/venc/data/w32.hllw.warpigs.b.html
Mais la taille (5120 octets) ne correspond pas à warpigs....
De plus, il n'est détecté par aucun des 3 antivirus que j'ai essayé (Norton, McAfee online, Kaspersky Online) (Norton à jour évidemment) Je precise aussi que le test des 3 antivirus a été fait depuis un autre PC, non infecté....
Merci.
joke0 wrote:
Salut,
Mathieu MARCIACQ:
(Je tient à votre disposition le .exe....)
Le plus simple c'est que tu en envoies une copie (compressée non cryptée) ici: L'AV Kaspersky qui écoute derrière te dira ce que c'est. Tu peux aussi me l'envoyer (cf mon reply-to -- compréssée cryptée). Mais je ne serais pas aussi rapide ;-)
Sinon, je dirais que ça ressemble assez à : http://symantec.com/avcenter/venc/data/w32.hllw.warpigs.b.html
-- joke0
joke0
Salut,
Mathieu MARCIACQ:
Mais la taille (5120 octets) ne correspond pas à warpigs....
En effet. KAV ne détecte rien, F-Prot non plus, mais McAfee VirusScan dit: WINUPD~1.TTT ... Found the Galorion trojan !!!
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
-- joke0
Salut,
Mathieu MARCIACQ:
Mais la taille (5120 octets) ne correspond pas à warpigs....
En effet. KAV ne détecte rien, F-Prot non plus, mais McAfee
VirusScan dit: WINUPD~1.TTT ... Found the Galorion trojan !!!
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire?
Tu as viré les clés du registre. Tu as pensé à désactiver la
restauration système?
Mais la taille (5120 octets) ne correspond pas à warpigs....
En effet. KAV ne détecte rien, F-Prot non plus, mais McAfee VirusScan dit: WINUPD~1.TTT ... Found the Galorion trojan !!!
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
-- joke0
joke0
Salut,
joke0:
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
Je vois que tu es sous Win95, donc pas de restauration système. Si tu ne peux le désactiver par CTRL+ALT+SUPPR, il te faut Appswat: http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html
Ensuite, virer les clés de registre, mais j'ai cru comprendre que tu l'avais fait déjà fait. Le point important sera de savoir où tu as chopé ce truc: P2P, site web, etc...
Il faudra aussi savoir s'il n'a pas téléchargé d'autres saloperies... Quel est ton AV?
-- joke0
Salut,
joke0:
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire?
Tu as viré les clés du registre. Tu as pensé à désactiver la
restauration système?
Je vois que tu es sous Win95, donc pas de restauration système.
Si tu ne peux le désactiver par CTRL+ALT+SUPPR, il te faut Appswat:
http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html
Ensuite, virer les clés de registre, mais j'ai cru comprendre que tu
l'avais fait déjà fait. Le point important sera de savoir où tu as
chopé ce truc: P2P, site web, etc...
Il faudra aussi savoir s'il n'a pas téléchargé d'autres saloperies...
Quel est ton AV?
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
Je vois que tu es sous Win95, donc pas de restauration système. Si tu ne peux le désactiver par CTRL+ALT+SUPPR, il te faut Appswat: http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html
Ensuite, virer les clés de registre, mais j'ai cru comprendre que tu l'avais fait déjà fait. Le point important sera de savoir où tu as chopé ce truc: P2P, site web, etc...
Il faudra aussi savoir s'il n'a pas téléchargé d'autres saloperies... Quel est ton AV?
-- joke0
Mathieu MARCIACQ
Bonjour.
McAfee : Curieux.....Pasque McAfee online lui ne dit rien.....
Vi, viré mémoire, & clefs de registres.... Mais pas pensé à désactiver restauration systeme....(Et vi...Pas l'habitude de Windows XP...Encore Windows 95 sur mon PC....) (Mais après plusieurs jours, il n'y était plus dans la base de registre....Donc je pense pas que çà soit nécessaire....)
Du SAV kaspersky, j'ai un le nom TrojanDownloader.Win32.Galaxer
Mais visiblement, faut encore attendre pour avoir des infos sur ce qu'il fait....Un google sur TrojanDownloader.Win32.Galaxer ou sur Galorion Trojan ne donne rien....
Merci !
joke0 wrote:
Salut,
Mathieu MARCIACQ:
Mais la taille (5120 octets) ne correspond pas à warpigs....
En effet. KAV ne détecte rien, F-Prot non plus, mais McAfee VirusScan dit: WINUPD~1.TTT ... Found the Galorion trojan !!!
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
-- joke0
Bonjour.
McAfee : Curieux.....Pasque McAfee online lui ne dit rien.....
Vi, viré mémoire, & clefs de registres....
Mais pas pensé à désactiver restauration systeme....(Et vi...Pas
l'habitude de Windows XP...Encore Windows 95 sur mon PC....)
(Mais après plusieurs jours, il n'y était plus dans la base de
registre....Donc je pense pas que çà soit nécessaire....)
Du SAV kaspersky, j'ai un le nom TrojanDownloader.Win32.Galaxer
Mais visiblement, faut encore attendre pour avoir des infos sur ce qu'il
fait....Un google sur TrojanDownloader.Win32.Galaxer ou sur Galorion
Trojan ne donne rien....
Merci !
joke0 wrote:
Salut,
Mathieu MARCIACQ:
Mais la taille (5120 octets) ne correspond pas à warpigs....
En effet. KAV ne détecte rien, F-Prot non plus, mais McAfee
VirusScan dit: WINUPD~1.TTT ... Found the Galorion trojan !!!
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire?
Tu as viré les clés du registre. Tu as pensé à désactiver la
restauration système?
McAfee : Curieux.....Pasque McAfee online lui ne dit rien.....
Vi, viré mémoire, & clefs de registres.... Mais pas pensé à désactiver restauration systeme....(Et vi...Pas l'habitude de Windows XP...Encore Windows 95 sur mon PC....) (Mais après plusieurs jours, il n'y était plus dans la base de registre....Donc je pense pas que çà soit nécessaire....)
Du SAV kaspersky, j'ai un le nom TrojanDownloader.Win32.Galaxer
Mais visiblement, faut encore attendre pour avoir des infos sur ce qu'il fait....Un google sur TrojanDownloader.Win32.Galaxer ou sur Galorion Trojan ne donne rien....
Merci !
joke0 wrote:
Salut,
Mathieu MARCIACQ:
Mais la taille (5120 octets) ne correspond pas à warpigs....
En effet. KAV ne détecte rien, F-Prot non plus, mais McAfee VirusScan dit: WINUPD~1.TTT ... Found the Galorion trojan !!!
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
Non, ce n'est pas ça, I-Worm.Cult est détecté par KAV et il fait 13Kb
-- joke0
Mathieu MARCIACQ
En fait, j'ai repéré le fichier sur le PC de mes parents, qui est sous Windows XP.... Moi je suis sur Windows 95....
Sur les 2 pc, Norton à jour est installé. J'ai rapatrié le WinUpdate.exe sur mon PC pour analyse, et j'ai checké avec Norton à jour, McAfee online, et Kazsperky online....
Au niveau saloperie diverses, j'ai fait le tour de tous les points sensibles de la base de registres, et j'ai rien repéré d'autre....
joke0 wrote:
Salut,
joke0:
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
Je vois que tu es sous Win95, donc pas de restauration système. Si tu ne peux le désactiver par CTRL+ALT+SUPPR, il te faut Appswat: http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html
Ensuite, virer les clés de registre, mais j'ai cru comprendre que tu l'avais fait déjà fait. Le point important sera de savoir où tu as chopé ce truc: P2P, site web, etc...
Il faudra aussi savoir s'il n'a pas téléchargé d'autres saloperies... Quel est ton AV?
-- joke0
En fait, j'ai repéré le fichier sur le PC de mes parents, qui est sous
Windows XP....
Moi je suis sur Windows 95....
Sur les 2 pc, Norton à jour est installé.
J'ai rapatrié le WinUpdate.exe sur mon PC pour analyse, et j'ai checké
avec Norton à jour, McAfee online, et Kazsperky online....
Au niveau saloperie diverses, j'ai fait le tour de tous les points
sensibles de la base de registres, et j'ai rien repéré d'autre....
joke0 wrote:
Salut,
joke0:
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire?
Tu as viré les clés du registre. Tu as pensé à désactiver la
restauration système?
Je vois que tu es sous Win95, donc pas de restauration système.
Si tu ne peux le désactiver par CTRL+ALT+SUPPR, il te faut Appswat:
http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html
Ensuite, virer les clés de registre, mais j'ai cru comprendre que tu
l'avais fait déjà fait. Le point important sera de savoir où tu as
chopé ce truc: P2P, site web, etc...
Il faudra aussi savoir s'il n'a pas téléchargé d'autres saloperies...
Quel est ton AV?
En fait, j'ai repéré le fichier sur le PC de mes parents, qui est sous Windows XP.... Moi je suis sur Windows 95....
Sur les 2 pc, Norton à jour est installé. J'ai rapatrié le WinUpdate.exe sur mon PC pour analyse, et j'ai checké avec Norton à jour, McAfee online, et Kazsperky online....
Au niveau saloperie diverses, j'ai fait le tour de tous les points sensibles de la base de registres, et j'ai rien repéré d'autre....
joke0 wrote:
Salut,
joke0:
Aucune info disponible pour l'instant. Tu l'as viré de la mémoire? Tu as viré les clés du registre. Tu as pensé à désactiver la restauration système?
Je vois que tu es sous Win95, donc pas de restauration système. Si tu ne peux le désactiver par CTRL+ALT+SUPPR, il te faut Appswat: http://telecharger.com/windows/Utilitaire/systeme/fiches/11700.html
Ensuite, virer les clés de registre, mais j'ai cru comprendre que tu l'avais fait déjà fait. Le point important sera de savoir où tu as chopé ce truc: P2P, site web, etc...
Il faudra aussi savoir s'il n'a pas téléchargé d'autres saloperies... Quel est ton AV?
-- joke0
joke0
Salut,
Mathieu MARCIACQ:
McAfee : Curieux.....Pasque McAfee online lui ne dit rien.....
Pas forcément s'il vient juste d'être ajouté à la base. Moi je venais juste de le mettre à jour! Le scanner en ligne n'est peut-être pas à jour.
Du SAV kaspersky, j'ai un le nom TrojanDownloader.Win32.Galaxer
Bien. Ils l'ont analysé en vitesse ou c'est une réponse automatique?
Mais visiblement, faut encore attendre pour avoir des infos sur ce qu'il fait....Un google sur TrojanDownloader.Win32.Galaxer ou sur Galorion Trojan ne donne rien....
En effet, c'est tout nouveau. Il faudrait donner de la lecture à tes parents :-) http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a3.5
-- joke0
Salut,
Mathieu MARCIACQ:
McAfee : Curieux.....Pasque McAfee online lui ne dit rien.....
Pas forcément s'il vient juste d'être ajouté à la base. Moi je
venais juste de le mettre à jour! Le scanner en ligne n'est
peut-être pas à jour.
Du SAV kaspersky, j'ai un le nom TrojanDownloader.Win32.Galaxer
Bien. Ils l'ont analysé en vitesse ou c'est une réponse automatique?
Mais visiblement, faut encore attendre pour avoir des infos sur ce
qu'il fait....Un google sur TrojanDownloader.Win32.Galaxer ou sur
Galorion Trojan ne donne rien....
En effet, c'est tout nouveau.
Il faudrait donner de la lecture à tes parents :-)
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a3.5
McAfee : Curieux.....Pasque McAfee online lui ne dit rien.....
Pas forcément s'il vient juste d'être ajouté à la base. Moi je venais juste de le mettre à jour! Le scanner en ligne n'est peut-être pas à jour.
Du SAV kaspersky, j'ai un le nom TrojanDownloader.Win32.Galaxer
Bien. Ils l'ont analysé en vitesse ou c'est une réponse automatique?
Mais visiblement, faut encore attendre pour avoir des infos sur ce qu'il fait....Un google sur TrojanDownloader.Win32.Galaxer ou sur Galorion Trojan ne donne rien....
En effet, c'est tout nouveau. Il faudrait donner de la lecture à tes parents :-) http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a3.5
-- joke0
Mathieu MARCIACQ
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse.... [TrojanDownloader.Win32.Galaxer [ [You may use attached DAILY. [NOTE: this database is NOT completely tested. [ [Regards, Eugene [Kaspersky Lab
En effet, c'est tout nouveau. Il faudrait donner de la lecture à tes parents :-)
Vi....Surtout que mon père pensait qu'il ne fallait jamais continuer quand XP lui disait que de nouvelles mises à jour sont disponibles....Donc il téléchargait jamais.....
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Si je fais démarrer/executer, et que je tape http://, il y a la combo avec la liste des derniers sites internet utilisés... Le probleme, c'est qu'il y a quelques sites qui se rajoutent d'office dans cette liste.... J'ai effacé l'historique, fichiers temporaires...Tous les autres URLs proposées ont disparues...Mais cette liste y est toujours, alors qu'elle dépend normalement de l'historique.... J'ai effacé brutalement l'historique (en supprimant le contenu du dossier historique), même chose pour les fichiers temporaires. J'ai vérifié les Downloaded Programs Files, la base de registres (Entrées Internet Explorer, Run, RunOnce, classe exefile, fait une recherche sur les urls qu'il rajoute), j'ai vérifie les .INI...Mais rien......Quelqu'un a une idée pour repérer d'où ça vient ? Par téléphone, je l'ai fait essayé en mode sans échec....Pareil....
Merci!
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
[TrojanDownloader.Win32.Galaxer
[
[You may use attached DAILY.
[NOTE: this database is NOT completely tested.
[
[Regards, Eugene
[Kaspersky Lab
En effet, c'est tout nouveau.
Il faudrait donner de la lecture à tes parents :-)
Vi....Surtout que mon père pensait qu'il ne fallait jamais continuer
quand XP lui disait que de nouvelles mises à jour sont
disponibles....Donc il téléchargait jamais.....
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Si je fais démarrer/executer, et que je tape http://, il y a la combo
avec la liste des derniers sites internet utilisés...
Le probleme, c'est qu'il y a quelques sites qui se rajoutent d'office
dans cette liste....
J'ai effacé l'historique, fichiers temporaires...Tous les autres URLs
proposées ont disparues...Mais cette liste y est toujours,
alors qu'elle dépend normalement de l'historique....
J'ai effacé brutalement l'historique (en supprimant le contenu du
dossier historique), même chose pour les fichiers
temporaires.
J'ai vérifié les Downloaded Programs Files, la base de registres
(Entrées Internet Explorer, Run, RunOnce, classe exefile, fait une
recherche sur les urls qu'il rajoute), j'ai vérifie les
.INI...Mais rien......Quelqu'un a une idée pour repérer d'où ça vient ?
Par téléphone, je l'ai fait essayé en mode sans échec....Pareil....
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse.... [TrojanDownloader.Win32.Galaxer [ [You may use attached DAILY. [NOTE: this database is NOT completely tested. [ [Regards, Eugene [Kaspersky Lab
En effet, c'est tout nouveau. Il faudrait donner de la lecture à tes parents :-)
Vi....Surtout que mon père pensait qu'il ne fallait jamais continuer quand XP lui disait que de nouvelles mises à jour sont disponibles....Donc il téléchargait jamais.....
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Si je fais démarrer/executer, et que je tape http://, il y a la combo avec la liste des derniers sites internet utilisés... Le probleme, c'est qu'il y a quelques sites qui se rajoutent d'office dans cette liste.... J'ai effacé l'historique, fichiers temporaires...Tous les autres URLs proposées ont disparues...Mais cette liste y est toujours, alors qu'elle dépend normalement de l'historique.... J'ai effacé brutalement l'historique (en supprimant le contenu du dossier historique), même chose pour les fichiers temporaires. J'ai vérifié les Downloaded Programs Files, la base de registres (Entrées Internet Explorer, Run, RunOnce, classe exefile, fait une recherche sur les urls qu'il rajoute), j'ai vérifie les .INI...Mais rien......Quelqu'un a une idée pour repérer d'où ça vient ? Par téléphone, je l'ai fait essayé en mode sans échec....Pareil....
Merci!
joke0
Salut,
Mathieu MARCIACQ:
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
En effet. La réponse du boss en personne ;o) Ils n'ont pas encore testé leurs ajoûts quotidiens pour voir s'ils ne produisent pas de faux positifs.
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Il faudrait commencer par passer un coup d'anti-spyware: Ad-aware et Spybot sont en français et gratuits: http://security.kolla.de http://www.lavasoft.com
Si ça ne résoud pas le pb, il faudra envisager d'autres possibilités.
-- joke0
Salut,
Mathieu MARCIACQ:
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
En effet. La réponse du boss en personne ;o)
Ils n'ont pas encore testé leurs ajoûts quotidiens pour voir s'ils
ne produisent pas de faux positifs.
A propos, y'a une autre saleté sur son PC, mais là, je comprend
plus....
Il faudrait commencer par passer un coup d'anti-spyware:
Ad-aware et Spybot sont en français et gratuits:
http://security.kolla.de
http://www.lavasoft.com
Si ça ne résoud pas le pb, il faudra envisager d'autres possibilités.
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
En effet. La réponse du boss en personne ;o) Ils n'ont pas encore testé leurs ajoûts quotidiens pour voir s'ils ne produisent pas de faux positifs.
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Il faudrait commencer par passer un coup d'anti-spyware: Ad-aware et Spybot sont en français et gratuits: http://security.kolla.de http://www.lavasoft.com
Si ça ne résoud pas le pb, il faudra envisager d'autres possibilités.
