je pense avoir ete infecte par un nouveau "virus" non reconnu par 4 antivirus.
Mes recherches sur internet concernant ce "virus" se sont toutes revelées
infructueuses, c'est pourquoi je pense qu'il est preferable d'en avertir le plus
grand monde.
Je pense l'avoir contracte lors d'un surf normal et il est donc fort possible
qu'il se serve d'une faille IE pour s'installer.
Il semble de plus capable de faire vaciller zonealarm PRO qui detecte cependant
en premiere instance une tentative de connection sur internet et la bloque en
attendant une autorisation. Puis zonealarm "tombe" et ne semble pas en mesure de
redemarer malgre ses tentatives.
D'une taille de 8944 octets, il commence par ecraser wmplayer.exe ( lecteur
multimedia de windows ) puis se copie ( au lancement du lecteur ) en windll32.
exe dans le repertoire \windows\system.
Une clé de registre est créée afin que ce windll32.exe s'execute a chaque
redemmarge de l'ordinateur.
Tout semble normal apres avoir reinstaller le lecteur multimedia, supprimer ce
fichier win32dll.exe et oter la clé du registre.
Vu certaines fautes de frappe dans mon message precedent, il s'agit bien de WINDLL32.EXE et non pas de WIN32DLL.EXE
Jceel
Bonjour ...Cancrelas qui nous as a dit
* * Vu certaines fautes de frappe dans mon message precedent, il s'agit bien de * WINDLL32.EXE et non pas de WIN32DLL.EXE
la faille est entre la chaise et le clavier quand on cliquouille sur n'impore quoi ;-( désolé... en plus ça date de 2001 cette bestiole spybot sur mon site doit te la virer ou http://www.pestpatrol.com/PestInfo/T/Traitor21.asp -- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Bonjour ...Cancrelas qui nous as a dit
*
* Vu certaines fautes de frappe dans mon message precedent, il s'agit
bien de
* WINDLL32.EXE et non pas de WIN32DLL.EXE
la faille est entre la chaise et le clavier quand on cliquouille sur
n'impore quoi ;-(
désolé... en plus ça date de 2001 cette bestiole
spybot sur mon site doit te la virer
ou http://www.pestpatrol.com/PestInfo/T/Traitor21.asp
--
@++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E
internaute indécis pour le HacheuTeuMeuLeu
seul le click droit Control+F deux
la lumière t'apportera C'est ce qu'il y a de mieux
netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp
Jceel http://jceel.free.fr l'hyper du gratuit du net
Founding Chairman of the International Pebkac Busters Company
* * Vu certaines fautes de frappe dans mon message precedent, il s'agit bien de * WINDLL32.EXE et non pas de WIN32DLL.EXE
la faille est entre la chaise et le clavier quand on cliquouille sur n'impore quoi ;-( désolé... en plus ça date de 2001 cette bestiole spybot sur mon site doit te la virer ou http://www.pestpatrol.com/PestInfo/T/Traitor21.asp -- @++++Jceel - MVP Win, I E, Media Player
En vérité je te le dis mais sous O E internaute indécis pour le HacheuTeuMeuLeu seul le click droit Control+F deux la lumière t'apportera C'est ce qu'il y a de mieux netevangile..selon Jceel.livre du windows.psaume alt-255..verset ÿp Jceel http://jceel.free.fr l'hyper du gratuit du net Founding Chairman of the International Pebkac Busters Company
Cancrelas
désolé... en plus ça date de 2001 cette bestiole spybot sur mon site doit te la virer
hé non, beaucoup de description de virus s'en approche ( wallon par exemple aussi ) mais aucune ne peut s'appliquer vraiment.
celui ci fait moins de 9 Ko !
Spybot n'y fait rien non plus, ni meme ad-aware
désolé... en plus ça date de 2001 cette bestiole
spybot sur mon site doit te la virer
hé non, beaucoup de description de virus s'en approche ( wallon par exemple
aussi ) mais aucune ne peut s'appliquer vraiment.
KAV: TrojanProxy.Win32.Mitglieder.bi (FSG) VirusScan: Downloader-JY trojan !!! ¹ RAV: OK (il voit que le fichier est packé avec FSG) F-Prot: OK
[1] j'ai pas vu ce qu'il pouvait bien télécharger.
Description chez NAV: <URL:http://www.symantec.com/avcenter/venc/data/trojan.mitglieder.l.html>
Ce n'est donc pas un ver, c'est un proxy qui permet d'utiliser la machine infecté comme un relais (à spam).
Reste à comprendre comment tu t'es fais infecté. La page de NAV n'aide pas du tout...
-- joke0
Cancrelas
Sympa d'avoir trouve un renseignement la dessus, merci joke0.
Je sais juste d'ou il a ete telechargé, mais je n'ai pas reussi a trouver plus de renseignement ( page visitée lors de l'infection, etc... )
http://sonotorysimp.org/frames//nomduvirus.exe
Je pense sincerement a une faille IE car contrairement a ce que d'aucuns pensent :oP, je surfe prudemment et sous le controle d'une "quantite de choses". Il n'en reste pas moins que l'on peut toujours faire une erreur...
Sympa d'avoir trouve un renseignement la dessus, merci joke0.
Je sais juste d'ou il a ete telechargé, mais je n'ai pas reussi a trouver plus
de renseignement ( page visitée lors de l'infection, etc... )
http://sonotorysimp.org/frames//nomduvirus.exe
Je pense sincerement a une faille IE car contrairement a ce que d'aucuns pensent
:oP, je surfe prudemment et sous le controle d'une "quantite de choses". Il n'en
reste pas moins que l'on peut toujours faire une erreur...
Sympa d'avoir trouve un renseignement la dessus, merci joke0.
Je sais juste d'ou il a ete telechargé, mais je n'ai pas reussi a trouver plus de renseignement ( page visitée lors de l'infection, etc... )
http://sonotorysimp.org/frames//nomduvirus.exe
Je pense sincerement a une faille IE car contrairement a ce que d'aucuns pensent :oP, je surfe prudemment et sous le controle d'une "quantite de choses". Il n'en reste pas moins que l'on peut toujours faire une erreur...
joke0
Salut,
Cancrelas:
http://sonotorysimp.org/frames//nomduvirus.exe
Apparemment ce domaine est connu comme spammeur. Il n'y a pas (plus?) l'exécutable que tu m'as envoyé.
Je pense sincerement a une faille IE car contrairement a ce que d'aucuns pensent :oP, je surfe prudemment et sous le controle d'une "quantite de choses".
<URL:http://www.mozilla.org/firefox>
-- joke0
Salut,
Cancrelas:
http://sonotorysimp.org/frames//nomduvirus.exe
Apparemment ce domaine est connu comme spammeur. Il n'y a pas
(plus?) l'exécutable que tu m'as envoyé.
Je pense sincerement a une faille IE car contrairement a ce
que d'aucuns pensent :oP, je surfe prudemment et sous le
controle d'une "quantite de choses".
Apparemment ce domaine est connu comme spammeur. Il n'y a pas (plus?) l'exécutable que tu m'as envoyé.
Je pense sincerement a une faille IE car contrairement a ce que d'aucuns pensent :oP, je surfe prudemment et sous le controle d'une "quantite de choses".
<URL:http://www.mozilla.org/firefox>
-- joke0
Cancrelas
Apparemment ce domaine est connu comme spammeur. Il n'y a >pas(plus?) l'exécutable que tu m'as envoyé.
il est toujours là, si, il suffit de remplacer le "nomduvirus" par "index"...
hmmm...et d'enlever le "s" de "frames", encore mes fautes de frappes, çà... les 2 slashs sont d'origine par contre !
Apparemment ce domaine est connu comme spammeur. Il n'y a >pas(plus?)
l'exécutable que tu m'as envoyé.
il est toujours là, si, il suffit de remplacer le "nomduvirus" par "index"...
hmmm...et d'enlever le "s" de "frames", encore mes fautes de frappes, çà... les
2 slashs sont d'origine par contre !
Apparemment ce domaine est connu comme spammeur. Il n'y a >pas(plus?) l'exécutable que tu m'as envoyé.
il est toujours là, si, il suffit de remplacer le "nomduvirus" par "index"...
hmmm...et d'enlever le "s" de "frames", encore mes fautes de frappes, çà... les 2 slashs sont d'origine par contre !
joke0
Salut,
Cancrelas:
il est toujours là, si, il suffit de remplacer le "nomduvirus" par "index"...
J'ai décrypté le script .js de l'index.html, il droppe et exécute un autre script .js qui utilise une vulnérabilité connue depuis longtemps (exploit ms-its) pour télécharger un .chm. Le chm contient un autre script vbs qui télécharge le fichier et le droppe sous le nom windll32.exe.
Donc: - ton internet Explorer n'est pas à jour, - le windll32.exe est le seul fichier venu par ce biais.
-- joke0
Salut,
Cancrelas:
il est toujours là, si, il suffit de remplacer le "nomduvirus"
par "index"...
J'ai décrypté le script .js de l'index.html, il droppe et
exécute un autre script .js qui utilise une vulnérabilité connue
depuis longtemps (exploit ms-its) pour télécharger un .chm. Le
chm contient un autre script vbs qui télécharge le fichier et le
droppe sous le nom windll32.exe.
Donc:
- ton internet Explorer n'est pas à jour,
- le windll32.exe est le seul fichier venu par ce biais.
il est toujours là, si, il suffit de remplacer le "nomduvirus" par "index"...
J'ai décrypté le script .js de l'index.html, il droppe et exécute un autre script .js qui utilise une vulnérabilité connue depuis longtemps (exploit ms-its) pour télécharger un .chm. Le chm contient un autre script vbs qui télécharge le fichier et le droppe sous le nom windll32.exe.
Donc: - ton internet Explorer n'est pas à jour, - le windll32.exe est le seul fichier venu par ce biais.
-- joke0
Cancrelas
Donc: - ton internet Explorer n'est pas à jour, - le windll32.exe est le seul fichier venu par ce biais.
Effectivement j'etais ( et suis toujours )revenu a explorer 5.5 pour resoudre un probleme de compatibilite entre IE6 et un pluggin 3D.
A noter que 8 jours apres cette infection, les version FREE d'antivir, AVG, avast et le scan en ligne de Trend micro ne me signale toujours rien... on se pense protégé et on est souvent loin de l'etre...
Donc:
- ton internet Explorer n'est pas à jour,
- le windll32.exe est le seul fichier venu par ce biais.
Effectivement j'etais ( et suis toujours )revenu a explorer 5.5 pour resoudre un
probleme de compatibilite entre IE6 et un pluggin 3D.
A noter que 8 jours apres cette infection, les version FREE d'antivir, AVG,
avast et le scan en ligne de Trend micro ne me signale toujours rien... on se
pense protégé et on est souvent loin de l'etre...
Donc: - ton internet Explorer n'est pas à jour, - le windll32.exe est le seul fichier venu par ce biais.
Effectivement j'etais ( et suis toujours )revenu a explorer 5.5 pour resoudre un probleme de compatibilite entre IE6 et un pluggin 3D.
A noter que 8 jours apres cette infection, les version FREE d'antivir, AVG, avast et le scan en ligne de Trend micro ne me signale toujours rien... on se pense protégé et on est souvent loin de l'etre...
