sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
d'évènements (au moment de l'infection, le service RPC a planté et le pc a
rebooté)
Donc après le reboot, la bête s'installe en tant que service
Nom du service : cfgldr
Nom complet : config Loader
chemin d'accès du fichier exe : "c:\windows\system32\scvhost.exe" - service
J'ai eu du mal à le repérer à cause du nom du fichier ressemblant beaucoup à
SVCHOST (que l'on retrouve forcément dans la liste des tâches)
Une fois en route le virus essayait sans cesse de se connecter à internet
(lancement du RAS toutes les 10sec), le CPU était en permancence à 100%, les
2 antivirus du pc (oui la personne en avait installé 2) ne pouvaient plus se
lancer et l'accès à la base de registre possible pendant seulement 10 sec.
voilà si quelqu'un avait plus d'info sur cette saleté afin que je puisse
savoir par quel moyen il est arrivé (pas par mail en tout cas, la personne
n'utilise pas la messagerie, outlook express n'est même pas configuré sur le
poste).
J'ai le fameux fichier à disposition si ça intéresse quelqu'un ...
ps : pour essayer de l'identifier je l'ai fais passer par mail à travers le
firewall du boulot, rien, le firewall n'a pas bronché et l'antivirus du
serveur de messagerie pas mieux (pas de panique je sais ce que je fais,
c'est moi l'admin). J'ai aussi trouvé des infos sur un virus ressemblant
(sur un site norvégien je crois), appelé win32/gaobot.gen, et j'ai passé le
correctif permettant de le détecté mais cela n'a rien donné.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JacK
sur les news:3fa8bf5f$0$27569$, Tsr <tsrchezfree.fr> signalait:
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs. d'évènements (au moment de l'infection, le service RPC a planté et le pc a rebooté)
Donc après le reboot, la bête s'installe en tant que service Nom du service : cfgldr Nom complet : config Loader chemin d'accès du fichier exe : "c:windowssystem32scvhost.exe" - service
J'ai eu du mal à le repérer à cause du nom du fichier ressemblant beaucoup à SVCHOST (que l'on retrouve forcément dans la liste des tâches)
Une fois en route le virus essayait sans cesse de se connecter à internet (lancement du RAS toutes les 10sec), le CPU était en permancence à 100%, les 2 antivirus du pc (oui la personne en avait installé 2) ne pouvaient plus se lancer et l'accès à la base de registre possible pendant seulement 10 sec.
voilà si quelqu'un avait plus d'info sur cette saleté afin que je puisse savoir par quel moyen il est arrivé (pas par mail en tout cas, la personne n'utilise pas la messagerie, outlook express n'est même pas configuré sur le poste).
J'ai le fameux fichier à disposition si ça intéresse quelqu'un ...
ps : pour essayer de l'identifier je l'ai fais passer par mail à travers le firewall du boulot, rien, le firewall n'a pas bronché et l'antivirus du serveur de messagerie pas mieux (pas de panique je sais ce que je fais, c'est moi l'admin). J'ai aussi trouvé des infos sur un virus ressemblant (sur un site norvégien je crois), appelé win32/gaobot.gen, et j'ai passé le correctif permettant de le détecté mais cela n'a rien donné.
Merci de m'avoir lu jusqu'ici.
'lut,
Variante de W32/Gaobot.worm Se déconnecter du rezo, supprimer les entrées du registre aux clés : "Config Loader" = SCVHOST.EXE
Redémarrer et aller à winntsystem32 (Win2k) ou WINDOWSsystem32 (WinXP) et supprimer scvhost.exe Installer un FW.
Patches à appliquer MS03-001 (RPC Locator) MS03-026 (Dcom RPC) et MS03-039 -- http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org http://www.msmvps.com/XPditif/ *Helping you void your warranty since 2000* ---***ANTISPAM***--- Click on the link to answer - Cliquez sur le lien pour répondre http://www.cerbermail.com/?p3GpATw2X4 @(*0*)@ JacK
sur les news:3fa8bf5f$0$27569$626a54ce@news.free.fr,
Tsr <tsrchezfree.fr> signalait:
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout
cas moi je le connais pas, l'antivirus et le firewall du boulot non
plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans
l'obs. d'évènements (au moment de l'infection, le service RPC a
planté et le pc a rebooté)
Donc après le reboot, la bête s'installe en tant que service
Nom du service : cfgldr
Nom complet : config Loader
chemin d'accès du fichier exe : "c:windowssystem32scvhost.exe" -
service
J'ai eu du mal à le repérer à cause du nom du fichier ressemblant
beaucoup à SVCHOST (que l'on retrouve forcément dans la liste des
tâches)
Une fois en route le virus essayait sans cesse de se connecter à
internet (lancement du RAS toutes les 10sec), le CPU était en
permancence à 100%, les 2 antivirus du pc (oui la personne en avait
installé 2) ne pouvaient plus se lancer et l'accès à la base de
registre possible pendant seulement 10 sec.
voilà si quelqu'un avait plus d'info sur cette saleté afin que je
puisse savoir par quel moyen il est arrivé (pas par mail en tout cas,
la personne n'utilise pas la messagerie, outlook express n'est même
pas configuré sur le poste).
J'ai le fameux fichier à disposition si ça intéresse quelqu'un ...
ps : pour essayer de l'identifier je l'ai fais passer par mail à
travers le firewall du boulot, rien, le firewall n'a pas bronché et
l'antivirus du serveur de messagerie pas mieux (pas de panique je
sais ce que je fais, c'est moi l'admin). J'ai aussi trouvé des infos
sur un virus ressemblant (sur un site norvégien je crois), appelé
win32/gaobot.gen, et j'ai passé le correctif permettant de le détecté
mais cela n'a rien donné.
Merci de m'avoir lu jusqu'ici.
'lut,
Variante de W32/Gaobot.worm
Se déconnecter du rezo, supprimer les entrées du registre aux clés : "Config
Loader" = SCVHOST.EXE
Redémarrer et aller à winntsystem32 (Win2k) ou WINDOWSsystem32 (WinXP) et
supprimer scvhost.exe
Installer un FW.
Patches à appliquer MS03-001 (RPC Locator)
MS03-026 (Dcom RPC) et MS03-039
--
http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org
http://www.msmvps.com/XPditif/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?p3GpATw2X4
@(*0*)@ JacK
sur les news:3fa8bf5f$0$27569$, Tsr <tsrchezfree.fr> signalait:
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs. d'évènements (au moment de l'infection, le service RPC a planté et le pc a rebooté)
Donc après le reboot, la bête s'installe en tant que service Nom du service : cfgldr Nom complet : config Loader chemin d'accès du fichier exe : "c:windowssystem32scvhost.exe" - service
J'ai eu du mal à le repérer à cause du nom du fichier ressemblant beaucoup à SVCHOST (que l'on retrouve forcément dans la liste des tâches)
Une fois en route le virus essayait sans cesse de se connecter à internet (lancement du RAS toutes les 10sec), le CPU était en permancence à 100%, les 2 antivirus du pc (oui la personne en avait installé 2) ne pouvaient plus se lancer et l'accès à la base de registre possible pendant seulement 10 sec.
voilà si quelqu'un avait plus d'info sur cette saleté afin que je puisse savoir par quel moyen il est arrivé (pas par mail en tout cas, la personne n'utilise pas la messagerie, outlook express n'est même pas configuré sur le poste).
J'ai le fameux fichier à disposition si ça intéresse quelqu'un ...
ps : pour essayer de l'identifier je l'ai fais passer par mail à travers le firewall du boulot, rien, le firewall n'a pas bronché et l'antivirus du serveur de messagerie pas mieux (pas de panique je sais ce que je fais, c'est moi l'admin). J'ai aussi trouvé des infos sur un virus ressemblant (sur un site norvégien je crois), appelé win32/gaobot.gen, et j'ai passé le correctif permettant de le détecté mais cela n'a rien donné.
Merci de m'avoir lu jusqu'ici.
'lut,
Variante de W32/Gaobot.worm Se déconnecter du rezo, supprimer les entrées du registre aux clés : "Config Loader" = SCVHOST.EXE
Redémarrer et aller à winntsystem32 (Win2k) ou WINDOWSsystem32 (WinXP) et supprimer scvhost.exe Installer un FW.
Patches à appliquer MS03-001 (RPC Locator) MS03-026 (Dcom RPC) et MS03-039 -- http://www.optimix.be.tf /MVP WindowsXP/ http://websecurite.org http://www.msmvps.com/XPditif/ *Helping you void your warranty since 2000* ---***ANTISPAM***--- Click on the link to answer - Cliquez sur le lien pour répondre http://www.cerbermail.com/?p3GpATw2X4 @(*0*)@ JacK
Chambord
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement : http://www.sophos.fr/virusinfo/analyses/w32agobots.html Lance une analyse en ligne au choix ou les deux http://www.symantec.com/region/fr/avcenter/ http://www.secuser.com/outils/antivirus.htm
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement :
http://www.sophos.fr/virusinfo/analyses/w32agobots.html
Lance une analyse en ligne au choix ou les deux
http://www.symantec.com/region/fr/avcenter/
http://www.secuser.com/outils/antivirus.htm
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement : http://www.sophos.fr/virusinfo/analyses/w32agobots.html Lance une analyse en ligne au choix ou les deux http://www.symantec.com/region/fr/avcenter/ http://www.secuser.com/outils/antivirus.htm
Tsr
"Chambord" a écrit dans le message de news:
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement : http://www.sophos.fr/virusinfo/analyses/w32agobots.html Lance une analyse en ligne au choix ou les deux http://www.symantec.com/region/fr/avcenter/ http://www.secuser.com/outils/antivirus.htm
merci beaucoup, ça ressemble exactement à ça !!!!
"Chambord" <azertyl@azertyl.fr> a écrit dans le message de
news:3FA8C7A0.2D486D63@azertyl.fr...
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas
moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans
l'obs.
Probablement :
http://www.sophos.fr/virusinfo/analyses/w32agobots.html
Lance une analyse en ligne au choix ou les deux
http://www.symantec.com/region/fr/avcenter/
http://www.secuser.com/outils/antivirus.htm
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement : http://www.sophos.fr/virusinfo/analyses/w32agobots.html Lance une analyse en ligne au choix ou les deux http://www.symantec.com/region/fr/avcenter/ http://www.secuser.com/outils/antivirus.htm
merci beaucoup, ça ressemble exactement à ça !!!!
Tsr
"Tsr" <tsrchezfree.fr> a écrit dans le message de news:3fa8c98d$0$27588$
"Chambord" a écrit dans le message de news:
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas
moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement : http://www.sophos.fr/virusinfo/analyses/w32agobots.html Lance une analyse en ligne au choix ou les deux http://www.symantec.com/region/fr/avcenter/ http://www.secuser.com/outils/antivirus.htm
merci beaucoup, ça ressemble exactement à ça !!!!
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T, petite variante de agobot-S dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton corporate 8 ne le détecte !!!
"Tsr" <tsrchezfree.fr> a écrit dans le message de
news:3fa8c98d$0$27588$626a54ce@news.free.fr...
"Chambord" <azertyl@azertyl.fr> a écrit dans le message de
news:3FA8C7A0.2D486D63@azertyl.fr...
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout
cas
moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans
l'obs.
Probablement :
http://www.sophos.fr/virusinfo/analyses/w32agobots.html
Lance une analyse en ligne au choix ou les deux
http://www.symantec.com/region/fr/avcenter/
http://www.secuser.com/outils/antivirus.htm
merci beaucoup, ça ressemble exactement à ça !!!!
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T,
petite variante de agobot-S
dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton
corporate 8 ne le détecte !!!
"Tsr" <tsrchezfree.fr> a écrit dans le message de news:3fa8c98d$0$27588$
"Chambord" a écrit dans le message de news:
Bonjour,
sur le poste d'un client j'ai eu affaire à un virus inconnu (en tout cas
moi
je le connais pas, l'antivirus et le firewall du boulot non plus)
A priori, il profite de la faille RPC d'après ce que j'en ai vu dans l'obs.
Probablement : http://www.sophos.fr/virusinfo/analyses/w32agobots.html Lance une analyse en ligne au choix ou les deux http://www.symantec.com/region/fr/avcenter/ http://www.secuser.com/outils/antivirus.htm
merci beaucoup, ça ressemble exactement à ça !!!!
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T, petite variante de agobot-S dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton corporate 8 ne le détecte !!!
djehuti
salut "Tsr" <tsrchezfree.fr> a écrit dans le message news: 3fa8d2d1$0$27574$
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T, petite variante de agobot-S
bah... tous les jours, y a une nouvelle variante de cette saloperie :-(
dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton corporate 8 ne le détecte !!!
d'où l'intérêt d'appliquer correctement les patches de M$ (surtout le MS03-039 et 040) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bulletin/MS03-039.asp http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bulletin/MS03-040.asp
la dernière variante de agobot chez symantec (à notez les noms et la classification très différents selon l'éditeur) http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ca.h tml
@tchao -- FAQ du forum fr.comp.securite.virus : http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
salut
"Tsr" <tsrchezfree.fr> a écrit dans le message news:
3fa8d2d1$0$27574$626a54ce@news.free.fr
alors pour info l'antivirus en ligne de secuser m'a détecté
w32/Agobot-T, petite variante de agobot-S
bah... tous les jours, y a une nouvelle variante de cette saloperie :-(
dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni
norton corporate 8 ne le détecte !!!
d'où l'intérêt d'appliquer correctement les patches de M$ (surtout le
MS03-039 et 040)
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS03-039.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS03-040.asp
la dernière variante de agobot chez symantec (à notez les noms et la
classification très différents selon l'éditeur)
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ca.h
tml
@tchao
--
FAQ du forum fr.comp.securite.virus :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
salut "Tsr" <tsrchezfree.fr> a écrit dans le message news: 3fa8d2d1$0$27574$
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T, petite variante de agobot-S
bah... tous les jours, y a une nouvelle variante de cette saloperie :-(
dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton corporate 8 ne le détecte !!!
d'où l'intérêt d'appliquer correctement les patches de M$ (surtout le MS03-039 et 040) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bulletin/MS03-039.asp http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bulletin/MS03-040.asp
la dernière variante de agobot chez symantec (à notez les noms et la classification très différents selon l'éditeur) http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ca.h tml
@tchao -- FAQ du forum fr.comp.securite.virus : http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
a_brotonne
Bonjour,
Tsr wrote:
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T, petite variante de agobot-S dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton corporate 8 ne le détecte !!!
J'ai exactement les mêmes symptômes,
http://www.ravantivirus.com/scan/indexn.php a trouvé "Win32/Gaobot.gen"
http://uk.trendmicro-europe.com/enterprise/products/housecall_it.php a trouvé "worm.agobot.t"
Il infecte donc svchost.exe et crée winhlpp.exe
J'en suis là...
tonio
Bonjour,
Tsr wrote:
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T,
petite variante de agobot-S
dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton
corporate 8 ne le détecte !!!
J'ai exactement les mêmes symptômes,
http://www.ravantivirus.com/scan/indexn.php
a trouvé "Win32/Gaobot.gen"
http://uk.trendmicro-europe.com/enterprise/products/housecall_it.php
a trouvé "worm.agobot.t"
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T, petite variante de agobot-S dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton corporate 8 ne le détecte !!!
J'ai exactement les mêmes symptômes,
http://www.ravantivirus.com/scan/indexn.php a trouvé "Win32/Gaobot.gen"
http://uk.trendmicro-europe.com/enterprise/products/housecall_it.php a trouvé "worm.agobot.t"
Il infecte donc svchost.exe et crée winhlpp.exe
J'en suis là...
tonio
Tsr
"tonio" a écrit dans le message de news:
Bonjour,
Tsr wrote:
alors pour info l'antivirus en ligne de secuser m'a détecté w32/Agobot-T,
petite variante de agobot-S dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni norton
corporate 8 ne le détecte !!!
J'ai exactement les mêmes symptômes,
http://www.ravantivirus.com/scan/indexn.php a trouvé "Win32/Gaobot.gen"
http://uk.trendmicro-europe.com/enterprise/products/housecall_it.php a trouvé "worm.agobot.t"
Il infecte donc svchost.exe et crée winhlpp.exe
J'en suis là...
tonio
bienvenue au club
"tonio" <a_brotonne@hotmail.com> a écrit dans le message de
news:c47f2800.0311050734.410494bf@posting.google.com...
Bonjour,
Tsr wrote:
alors pour info l'antivirus en ligne de secuser m'a détecté
w32/Agobot-T,
petite variante de agobot-S
dans l'histoire ce qui m'embête le plus c'est que ni mon firewall ni
norton
corporate 8 ne le détecte !!!
J'ai exactement les mêmes symptômes,
http://www.ravantivirus.com/scan/indexn.php
a trouvé "Win32/Gaobot.gen"
http://uk.trendmicro-europe.com/enterprise/products/housecall_it.php
a trouvé "worm.agobot.t"
