Trojan

C'est pas lui apr hasard ?

http://vil.mcafee.com/dispVirus.asp?virus_k0381
--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)

Salut,

Arnold McDonald (AMcD):

http://vil.mcafee.com/dispVirus.asp?virus_k0381

Une variante alors, parce que celle là est détectée par KAV (Trojan.Win32.VB.ac).

--
joke0

Salut,

JMB:

Sur Win XP Pro, Norton vient de me signaler un "Trojan Horse" sur
c:windowssystem32sysmon.exe et dit qu'il ne peut pas le
réparer.

Une alerte heuristique alors.

Jai envoyé à <http://www.kaspersky.com/remoteviruschk.html> : nada

Vous pouvez en envoyer une copie là pour analyse: <submit-virus@avp.ch>

Par contre, dans mes fichiers temp, j'ai un drôle de truc qui ne
veut pas se supprimer. De même, j'ai un irsetup.dat et j'ai vu
quelque part que c'était bizarre (avec un sysmon.exe de 32 769 Ko,

Octets plutôt ;-)

un sysmon.ini avec lla date du jour et cet irsetup.dat !)

Désactivez le processus en mémoire.
Désactivez le service ou le programme qui se lance au démarrage (probablement depuis le registre).
Compressez tout ce qui est suspect en attendant de savoir ce que c'est.

Où as-vous récupéré ça?

--
joke0

salut
"JMB" <jbonnard@laposte.net> a écrit dans le message news:
3f080707$0$5420$626a54ce@news.free.fr

Bonjour

Sur Win XP Pro, Norton vient de me signaler un "Trojan Horse" sur
c:windowssystem32sysmon.exe et dit qu'il ne peut pas le réparer.

XP => faut désactiver la restauration système

redémarre en mode sans échec et lance le scan (ou bien efface manuellement
les fichiers en cause)

Jai envoyé à <http://www.kaspersky.com/remoteviruschk.html> : nada !

là, c'est bizarre

tu peux m'envoyer le sysmon.exe ici djehuti@free.fr

faudra peut être jeter un oeil au registre pour supprimer les clés ajoutées
par la bestiole

@tchao

http://vil.mcafee.com/dispVirus.asp?virus_k0381
Ca y ressemble. J'avais déjà vu ce message mais comme j'ai Norton Av et

qu'il le détecte mais ne le soigne pas !!!

JMB

Je viens de lancer un scan en ligne avec :
http://www.trojanscan.com/trojanscan/trojanscan.htm

Il me dit qu'il n'a rien trouvé


Par contre, je viens de voir un xcan.txt
(http://wtc.trendmicro.com/HcBin/HcAddLog.exe), il indique :

2003/07/06 11:47:56:500 ScanFile C:WINDOWSSYSTEM32sysmon.exe
2003/07/06 11:47:56:546 Dump_Virus:pfcb->pfcb_status=-94

2003/07/06 11:47:56:546 Xscan:Skip OPEN_R_ERR

2003/07/06 11:47:56:546 Xscan:Skip NOT_SUPPORTED_ERR

JMB

Merci à ceux qui m'ont répondu et demandé d'envoyer le fichier.

Il a fallu que je désactive ma protection pour qu'il parte.J'espère que ceux
qui l'ont demandé l'on reçu.

(sauf djehuti car AOL a rejeté mon message).

Mais j'ai aussi envoyé le fichier à >> <submit-virus@avp.ch> et un gentil
robot m'a remercié et m'a dit :

sysmon.exe infected: Trojan.Win32.VB.ac

.Je vous tiens au courant pour la suite et remercie encore ceux qui
n'hésitent pas à filer des coups de main un dimanche après-midi.

JMB

Salut,

JMB:

Il a fallu que je désactive ma protection pour qu'il
parte.J'espère que ceux qui l'ont demandé l'on reçu.

Il faut que tu le compresses avec un mot de passe pour ça, sinon les serveurs SMTP surveillés par
des AV vont faire le message ;-)

sysmon.exe infected: Trojan.Win32.VB.ac

Tu avais dû mal t'y prendre pour le scan en ligne de KAV :-(
C'est bien le lien qu'AMD te donnait plus haut:
<http://vil.mcafee.com/dispVirus.asp?virus_k0381>

La désinfection se résume en 4 points:
- désactiver le processus chargé en mémoire (par CTRL+ALT+SUPPR)
- mettre les fichiers concernés ailleurs pour qu'ils soient inaccessibles.

- A partir de là, un bon coup d'AV pour nettoyer. NAV le détecte-t-il? Sinon, tu peux essayer une
version d'essai d'AVP / KAV ici <http://www.avp.ch> met-le à jour.

- Puis nettoyage des clés de registre (probablement)

--
joke0

Salut,

JMB:

Oui mais le nettoyage est payant, à ce qu'il me semble.

Version complète d'essai pendant 2 mois. Tu peux avoir une clé par télécharger.com en cherchant
KAV.

--
joke0

Tout d'abord merci à tous de votre aide. Jai reçu des messages dans ma BAL
pour me filer des tuyaux et je remercie le groupe pour cette solidarité.

J'espère que ce message pourra aider ceux qui se feront avoir !

Tout d'abord, je ne sais pas comment j'ai chopé ce cheval de Troye.. mais le
PC est utlisé par 4 personnes à la maison et pas toutes font gaffe comme moi
(non, je ne dénonce pas mes gosses ;-))) )

Mais Norton AV 2003 a détecté ce "Trojan horse", sans plus le nommer (et sur
le site Symantec, pas plus d'infos). Il visait un fichier SYSMON.EXE dans
C:WINDOWSSYSTEM32. Par contre, il ne pouvait pas le réparer car il n'avit
pas l'accès.

J'ai essayé l'antivirus gratuit et en ligne de Secuser... rien trouvé ! J'ai
même lancé le Cleaner (avec les dernières mises à jour: pas trouvé !)

Par contre, en envoyant une copie de ce fichier à submit-virus@avp.ch, j'ai
reçu un message en retour (du robot) qui m'indiquait que j'avais à faire au
Trojan.Win32.VB.ac.
Chose que j'avais vu aussi dans la mesure où McAffe parlait de ce trojan
(il l'appelle BackDoor-AVT) en disant que l'on avait 3 fichiers en présence:

SYSMON. EXE (taille 32 769 car)
SYSMON.INI (avec la date du jour dedans)
IRSETUP.DAT qui figure, lui, dans C:Documents and Settings....Local
SettingsTemp

De plus, un processus SYSMON.EXE tournait en permanence.

Même en désactivant ce processus, je n'ai pas pu accéder au SYSMON.EXE qui
n'était pas supprimable.

Sur les conseils avisés de personnes de ce forum, je suis passé en mode sans
échec. etj'ai fait le ménage dans ces répertoires. J'ai recherché la
présence de SYSMON.EXE dans la base de registre et il y avait une clé "RUN"
associée : je l'ai supprimée.

Après cela, redémarrage et scan avec NAV... j'ai retrouvé le virus dans la
poubelle, que j'avais omis de vider.

Bon, je pense que j'ai terminé mais cela ne me paraît pas très "clean" . Si
vous avez quelques idées pour compléter la chose, je suis preneur.

Merci encore

JMB