un de mes amis a telechargé un fichier qui se trouve sur
http://photosalbum.my-place.us sous le nom de photo.pif (ATTENTION, NE
TELECHARGER PAS CE PROGRAMME, IL SAGIT DUN VIRUS).
Depuis, quand il utilise msn, régulierement, son msn envoye les messages
suivants à ses contacts :
you are suffering a treason http://photosalbum.my-place.us
it sees my photosalbum http://photosalbum.my-place.us
found this photo its in the Internet http://photosalbum.my-place.us
I read this on its family http://photosalbum.my-place.us
Malheureusement quand on passe un antivirus (meme sur le photo.pif), les
antivirus ne detectent rien.
Quelqu'un sait que faire pour eliminer ca ?
Merci à tous.
JE RPETE ENCORE, NE PAS TELECHARGER (enfin on peut le tlecharger si on
l'execute pas, mais bon, reservé à ceux qui savent ce qu'ils font) LE
PROGRAMME PHOTO.PIF, C'EST UN VIRUS.
SI je donne le lien c'est juste pour qu'une personne qui pourrait m'aider
sache de quoi je parle. c'est tout.
Le Mon, 09 Oct 2006 08:31:14 GMT, le seigneur des rateaux
sur ta voiture, tu connais le fonctionnement du moteur ? la composition du carburant, non, alors pourquoi avoir a s'y connaitre en informatique ?
Tu sais au minimum qu'il ne faut pas mettre du gas oil pour un moteur à essence, qu'il ne faut pas passer directement du point mort en 4°, qu'il faut desserrer le frein à main avant de démarrer ...
tu a jamais vu tout les véhicules de location ou entreprise avec le nom du carburant a mettre marqué sur la voirure ? et puis tu ne sais pas le fonctionnement du moteur, comme un pif, ou autre cadeau envoyé par qqun, le laveur de vitre qui te crade ou raye le pare brise, tu a confiance (quoique ...)
On Mon, 09 Oct 2006 11:42:44 +0200, Cool <cool@zen.net> wrote:
Le Mon, 09 Oct 2006 08:31:14 GMT, le seigneur des rateaux
sur ta voiture, tu connais le fonctionnement du moteur ? la
composition du carburant, non, alors pourquoi avoir a s'y connaitre en
informatique ?
Tu sais au minimum qu'il ne faut pas mettre du gas oil pour un moteur
à essence, qu'il ne faut pas passer directement du point mort en 4°,
qu'il faut desserrer le frein à main avant de démarrer ...
tu a jamais vu tout les véhicules de location ou entreprise avec le
nom du carburant a mettre marqué sur la voirure ?
et puis tu ne sais pas le fonctionnement du moteur, comme un pif, ou
autre cadeau envoyé par qqun, le laveur de vitre qui te crade ou raye
le pare brise, tu a confiance (quoique ...)
Le Mon, 09 Oct 2006 08:31:14 GMT, le seigneur des rateaux
sur ta voiture, tu connais le fonctionnement du moteur ? la composition du carburant, non, alors pourquoi avoir a s'y connaitre en informatique ?
Tu sais au minimum qu'il ne faut pas mettre du gas oil pour un moteur à essence, qu'il ne faut pas passer directement du point mort en 4°, qu'il faut desserrer le frein à main avant de démarrer ...
tu a jamais vu tout les véhicules de location ou entreprise avec le nom du carburant a mettre marqué sur la voirure ? et puis tu ne sais pas le fonctionnement du moteur, comme un pif, ou autre cadeau envoyé par qqun, le laveur de vitre qui te crade ou raye le pare brise, tu a confiance (quoique ...)
oursin agile
Yves Lambert a formulé ce dimanche :
Michel Doucet wrote:
Ton "ami" ne *mérite* pas d'utiliser un ordinateur ... surtout sous Windows !
C'est /très/ constructif comme avis, ça....
C'est ce qu'ion appelle un "egg-drop" ou "trojan downloader" en français, il pond un oeuf... et l'oeuf est plus ou moins méchant.
Pas tous les antivirus le détectent :
AntiVir, BitDefender, Ikarus, NOD32v2, Norman le détectent, les autres non. Pour le curatif ça doit être la même chose : il vaut mieux faire ça à la main. Slt,
Kaspersky me le detecte aussi. Trojan-Downloader.Win32.Delf.azk
-- "C'est curieux chez les marins ce besoin de faire des phrases..." Maitre Folace.
Yves Lambert a formulé ce dimanche :
Michel Doucet wrote:
Ton "ami" ne *mérite* pas d'utiliser un ordinateur ... surtout sous
Windows !
C'est /très/ constructif comme avis, ça....
C'est ce qu'ion appelle un "egg-drop" ou "trojan downloader" en français, il
pond un oeuf... et l'oeuf est plus ou moins méchant.
Pas tous les antivirus le détectent :
AntiVir, BitDefender, Ikarus, NOD32v2, Norman le détectent, les autres non.
Pour le curatif ça doit être la même chose : il vaut mieux faire ça à la
main.
Slt,
Kaspersky me le detecte aussi. Trojan-Downloader.Win32.Delf.azk
--
"C'est curieux chez les marins ce besoin de faire des phrases..."
Maitre Folace.
Ton "ami" ne *mérite* pas d'utiliser un ordinateur ... surtout sous Windows !
C'est /très/ constructif comme avis, ça....
C'est ce qu'ion appelle un "egg-drop" ou "trojan downloader" en français, il pond un oeuf... et l'oeuf est plus ou moins méchant.
Pas tous les antivirus le détectent :
AntiVir, BitDefender, Ikarus, NOD32v2, Norman le détectent, les autres non. Pour le curatif ça doit être la même chose : il vaut mieux faire ça à la main. Slt,
Kaspersky me le detecte aussi. Trojan-Downloader.Win32.Delf.azk
-- "C'est curieux chez les marins ce besoin de faire des phrases..." Maitre Folace.
Oreste Hétoudabord
"le seigneur des rateaux" a écrit dans le message de news:
On Sun, 8 Oct 2006 22:23:29 +0200, "philippe legrand" wrote:
Tu sais que 99,9% des gens qui utilisent un ordinateur n'y connaissent absoluement rien en informatique ni en securité ?
sur ta voiture, tu connais le fonctionnement du moteur ? la composition du carburant, non, alors pourquoi avoir a s'y connaitre en informatique ?
Tu as raison, mais quand qqn demande de l'aide, il s'en trouve toujours pour donner des leçons pour mieux cacher qu'ils ne connaissent pas la solution au problème exposé.
"le seigneur des rateaux" <voir@org.fr> a écrit dans le message de news:
r32ki25hlkojlkro584f7jm7uk0p631av7@4ax.com...
On Sun, 8 Oct 2006 22:23:29 +0200, "philippe legrand"
<plegrand@nospam.no> wrote:
Tu sais que 99,9% des gens qui utilisent un ordinateur n'y connaissent
absoluement rien en informatique ni en securité ?
sur ta voiture, tu connais le fonctionnement du moteur ? la
composition du carburant, non, alors pourquoi avoir a s'y connaitre en
informatique ?
Tu as raison, mais quand qqn demande de l'aide, il s'en trouve toujours pour
donner des leçons pour mieux cacher qu'ils ne connaissent pas la solution au
problème exposé.
"le seigneur des rateaux" a écrit dans le message de news:
On Sun, 8 Oct 2006 22:23:29 +0200, "philippe legrand" wrote:
Tu sais que 99,9% des gens qui utilisent un ordinateur n'y connaissent absoluement rien en informatique ni en securité ?
sur ta voiture, tu connais le fonctionnement du moteur ? la composition du carburant, non, alors pourquoi avoir a s'y connaitre en informatique ?
Tu as raison, mais quand qqn demande de l'aide, il s'en trouve toujours pour donner des leçons pour mieux cacher qu'ils ne connaissent pas la solution au problème exposé.
Yves Lambert
philippe legrand wrote:
Bonjour,
un de mes amis a telechargé un fichier qui se trouve sur http://photosalbum.my-place.us sous le nom de photo.pif (ATTENTION, NE TELECHARGER PAS CE PROGRAMME, IL SAGIT DUN VIRUS).
Vous m'avez fait parvenr le log hijackthis, je l'ai soumis à analyse et je l'ai sauvegardée : http://www.hijackthis.de/logfiles/d175803ca9a679aa7f8ccf43e1c01fa5.html
Il y a ça : :::::::::::::::::: O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll Méchant Méchant Risque d'inscription dangereuse. Ce programme ([9394EDE7-C8B5-483E-8773-474BF36AF6E4] - Treffer: 9394EDE7-C8B5-483E-8773-474BF36AF6E4) a été identifié comme étant non dangereux. Taux de précision: 100,00% Visitor's assessment: 3.33 (Neutral) Effacer à tout prix ! ::::::::: refaites une analyse en mode sans échec, cocher la case pour effacer cette clé de registre, hijackthis va l'effacer. Faites analyser le fichier C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll sur virustotal.com
:::::::::: .Run: [Desktop Service] C:windowssmss.com Inconnu Inconnu Taux de précision: 0,00 % (Résultats) Currently there is no visitor's assessment! Programme inconnu. :::::::::::::: C'est le fameux oeuf qui a été pondu par le pondeur d'oeuf. L'extension .com est gardée pour les exécutables pour des raisons de compatibilité asendantes entre les version de DOS et windows, osus 2000 ou XP ça ne peut pas être un programme légitime. Vous pouvez l'effacer sans remord ainsi que la clef de registre correspondante (vous pouvez me l'envoyer zippé avec la dll ********** "C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll"
O4 - HKLM..Run: [Windows] C:Windowsmsnmsgr.exe Inconnu Inconnu Taux de précision: 0,00 % (Résultats) Currently there is no visitor's assessment! Programme inconnu.
:::::::::::::: msn messeenger a un nom très proche. ceci est un usurpateur qui doit faire partie de la couvée du coucou. Si vous voulez vous pouvez me l'envoyer en pièce jointe avec stmain.dll et smss.com. En tout état de cause effacer la clé de registre aussi (avec hijackthis, toujours) ********* O4 - HKCU..Run: [BitTorrent] "C:Program FilesBitTorrentbittorrent.exe" --force_start_minimized Inconnu Inconnu Taux de précision: 0,00 % (Résultats) Visitor's assessment: 4 (Safe) Programme inconnu. ****** Attention ! ce porgramme est a priori l"gitime : c'est un programme pour télécharger des fichiers en peer to peer. Mais il peut tout aussi bien avoir été installé par le cheval de troie ou celui qui le contrôle. *Si ce n'est pas vous qui l'avez installé désinstallez le : vous ne contrôlez plus ce à quoi sert votre machine*
:::::::::::::::: O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab Eventuellement méchant Eventuellement méchant Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si linscription contient des mots comme 'dialer', 'casino', 'free plugin' etc. Visitor's assessment: 4.33 (Safe) Vérifiez si vous connaissez ce site. Si tel nest pas le cas, effacez l'inscription.
::::::::::::::::: E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup160.cab Eventuellement méchant Eventuellement méchant Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si linscription contient des mots comme 'dialer', 'casino', 'free plugin' etc. Visitor's assessment: 4 (Safe) Vérifiez si vous connaissez ce site. Si tel nest pas le cas, effacez l'inscription. ******* N'ayez aucun scrupule à effacer ces deux là.
:::::::::::::: O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe Inconnu Inconnu Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et nest pas facile à détecter. Visitor'assessment: 3 (Neutral) Service inconnu. (ALUSchedulerSvc.exe :::::::::::::
Rien à dire a priori sauf si vous n'utilisez plus de logiciels symantec - qui a tendance à être très crampon. Ne l'effacer que si vous n'utilisez plus Norton AV ni aucune application symantec.
:::::::::::::
Une fois que vous aurez fait tout ceci,
redémarrer et refaites un hijackthis.
Allez sur http://www.hijackthis.de/fr pour soumettre le log à analyse, dans la page d'analyse clickez en bas sur «Sauvegarder lévaluation» une nouvelle fenêtre s'ouvre. S'il vous plaît pointez ici (et non dans ma bal :) l'url correspondante (du même type que celle que j'ai mise au début de ce post.)
-- Hommage de l'auteur absent de Paris
philippe legrand wrote:
Bonjour,
un de mes amis a telechargé un fichier qui se trouve sur
http://photosalbum.my-place.us sous le nom de photo.pif (ATTENTION, NE
TELECHARGER PAS CE PROGRAMME, IL SAGIT DUN VIRUS).
Vous m'avez fait parvenr le log hijackthis, je l'ai soumis à analyse et
je l'ai sauvegardée :
http://www.hijackthis.de/logfiles/d175803ca9a679aa7f8ccf43e1c01fa5.html
Il y a ça :
::::::::::::::::::
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program
FilesMSN AppsST�1.03.0000.1005en-xustmain.dll Méchant
Méchant Risque d'inscription dangereuse. Ce programme
([9394EDE7-C8B5-483E-8773-474BF36AF6E4] - Treffer:
9394EDE7-C8B5-483E-8773-474BF36AF6E4) a été identifié comme étant non
dangereux. Taux de précision: 100,00%
Visitor's assessment: 3.33 (Neutral) Effacer à tout prix !
:::::::::
refaites une analyse en mode sans échec, cocher la case pour effacer
cette clé de registre, hijackthis va l'effacer.
Faites analyser le fichier
C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll sur
virustotal.com
::::::::::
.Run: [Desktop Service] C:windowssmss.com Inconnu
Inconnu
Taux de précision: 0,00 % (Résultats)
Currently there is no visitor's assessment! Programme inconnu.
::::::::::::::
C'est le fameux oeuf qui a été pondu par le pondeur d'oeuf. L'extension
.com est gardée pour les exécutables pour des raisons de compatibilité
asendantes entre les version de DOS et windows, osus 2000 ou XP ça ne
peut pas être un programme légitime.
Vous pouvez l'effacer sans remord ainsi que la clef de registre
correspondante (vous pouvez me l'envoyer zippé avec la dll
**********
"C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll"
O4 - HKLM..Run: [Windows] C:Windowsmsnmsgr.exe Inconnu
Inconnu
Taux de précision: 0,00 % (Résultats)
Currently there is no visitor's assessment! Programme inconnu.
::::::::::::::
msn messeenger a un nom très proche. ceci est un usurpateur qui doit
faire partie de la couvée du coucou. Si vous voulez vous pouvez me
l'envoyer en pièce jointe avec stmain.dll et smss.com.
En tout état de cause effacer la clé de registre aussi (avec hijackthis,
toujours)
*********
O4 - HKCU..Run: [BitTorrent] "C:Program
FilesBitTorrentbittorrent.exe" --force_start_minimized Inconnu
Inconnu
Taux de précision: 0,00 % (Résultats)
Visitor's assessment: 4 (Safe) Programme inconnu.
******
Attention ! ce porgramme est a priori l"gitime : c'est un programme pour
télécharger des fichiers en peer to peer. Mais il peut tout aussi bien
avoir été installé par le cheval de troie ou celui qui le contrôle.
*Si ce n'est pas vous qui l'avez installé désinstallez le : vous ne
contrôlez plus ce à quoi sert votre machine*
::::::::::::::::
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0
Control) -
http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
Eventuellement méchant
Eventuellement méchant Les éléments ActiveX provenant de pages
inconnues doivent être effacés, surtout si linscription contient des
mots comme 'dialer', 'casino', 'free plugin' etc.
Visitor's assessment: 4.33 (Safe) Vérifiez si vous connaissez ce
site. Si tel nest pas le cas, effacez l'inscription.
:::::::::::::::::
E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} -
http://download.abacast.com/download/files/abasetup160.cab
Eventuellement méchant
Eventuellement méchant Les éléments ActiveX provenant de pages
inconnues doivent être effacés, surtout si linscription contient des
mots comme 'dialer', 'casino', 'free plugin' etc.
Visitor's assessment: 4 (Safe) Vérifiez si vous connaissez ce site.
Si tel nest pas le cas, effacez l'inscription.
*******
N'ayez aucun scrupule à effacer ces deux là.
::::::::::::::
O23 - Service: Planificateur LiveUpdate automatique - Symantec
Corporation - C:Program
FilesSymantecLiveUpdateALUSchedulerSvc.exe Inconnu
Inconnu Ces entrées montrent tous les services qui ne sont pas de
Microsoft. Souvent malware démarre comme un service système et nest pas
facile à détecter.
Visitor'assessment: 3 (Neutral) Service inconnu. (ALUSchedulerSvc.exe
:::::::::::::
Rien à dire a priori sauf si vous n'utilisez plus de logiciels symantec
- qui a tendance à être très crampon. Ne l'effacer que si vous
n'utilisez plus Norton AV ni aucune application symantec.
:::::::::::::
Une fois que vous aurez fait tout ceci,
redémarrer et refaites un hijackthis.
Allez sur http://www.hijackthis.de/fr pour soumettre le log à analyse,
dans la page d'analyse clickez en bas sur «Sauvegarder lévaluation» une
nouvelle fenêtre s'ouvre. S'il vous plaît pointez ici (et non dans ma
bal :) l'url correspondante (du même type que celle que j'ai mise au
début de ce post.)
un de mes amis a telechargé un fichier qui se trouve sur http://photosalbum.my-place.us sous le nom de photo.pif (ATTENTION, NE TELECHARGER PAS CE PROGRAMME, IL SAGIT DUN VIRUS).
Vous m'avez fait parvenr le log hijackthis, je l'ai soumis à analyse et je l'ai sauvegardée : http://www.hijackthis.de/logfiles/d175803ca9a679aa7f8ccf43e1c01fa5.html
Il y a ça : :::::::::::::::::: O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll Méchant Méchant Risque d'inscription dangereuse. Ce programme ([9394EDE7-C8B5-483E-8773-474BF36AF6E4] - Treffer: 9394EDE7-C8B5-483E-8773-474BF36AF6E4) a été identifié comme étant non dangereux. Taux de précision: 100,00% Visitor's assessment: 3.33 (Neutral) Effacer à tout prix ! ::::::::: refaites une analyse en mode sans échec, cocher la case pour effacer cette clé de registre, hijackthis va l'effacer. Faites analyser le fichier C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll sur virustotal.com
:::::::::: .Run: [Desktop Service] C:windowssmss.com Inconnu Inconnu Taux de précision: 0,00 % (Résultats) Currently there is no visitor's assessment! Programme inconnu. :::::::::::::: C'est le fameux oeuf qui a été pondu par le pondeur d'oeuf. L'extension .com est gardée pour les exécutables pour des raisons de compatibilité asendantes entre les version de DOS et windows, osus 2000 ou XP ça ne peut pas être un programme légitime. Vous pouvez l'effacer sans remord ainsi que la clef de registre correspondante (vous pouvez me l'envoyer zippé avec la dll ********** "C:Program FilesMSN AppsST�1.03.0000.1005en-xustmain.dll"
O4 - HKLM..Run: [Windows] C:Windowsmsnmsgr.exe Inconnu Inconnu Taux de précision: 0,00 % (Résultats) Currently there is no visitor's assessment! Programme inconnu.
:::::::::::::: msn messeenger a un nom très proche. ceci est un usurpateur qui doit faire partie de la couvée du coucou. Si vous voulez vous pouvez me l'envoyer en pièce jointe avec stmain.dll et smss.com. En tout état de cause effacer la clé de registre aussi (avec hijackthis, toujours) ********* O4 - HKCU..Run: [BitTorrent] "C:Program FilesBitTorrentbittorrent.exe" --force_start_minimized Inconnu Inconnu Taux de précision: 0,00 % (Résultats) Visitor's assessment: 4 (Safe) Programme inconnu. ****** Attention ! ce porgramme est a priori l"gitime : c'est un programme pour télécharger des fichiers en peer to peer. Mais il peut tout aussi bien avoir été installé par le cheval de troie ou celui qui le contrôle. *Si ce n'est pas vous qui l'avez installé désinstallez le : vous ne contrôlez plus ce à quoi sert votre machine*
:::::::::::::::: O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab Eventuellement méchant Eventuellement méchant Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si linscription contient des mots comme 'dialer', 'casino', 'free plugin' etc. Visitor's assessment: 4.33 (Safe) Vérifiez si vous connaissez ce site. Si tel nest pas le cas, effacez l'inscription.
::::::::::::::::: E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup160.cab Eventuellement méchant Eventuellement méchant Les éléments ActiveX provenant de pages inconnues doivent être effacés, surtout si linscription contient des mots comme 'dialer', 'casino', 'free plugin' etc. Visitor's assessment: 4 (Safe) Vérifiez si vous connaissez ce site. Si tel nest pas le cas, effacez l'inscription. ******* N'ayez aucun scrupule à effacer ces deux là.
:::::::::::::: O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe Inconnu Inconnu Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et nest pas facile à détecter. Visitor'assessment: 3 (Neutral) Service inconnu. (ALUSchedulerSvc.exe :::::::::::::
Rien à dire a priori sauf si vous n'utilisez plus de logiciels symantec - qui a tendance à être très crampon. Ne l'effacer que si vous n'utilisez plus Norton AV ni aucune application symantec.
:::::::::::::
Une fois que vous aurez fait tout ceci,
redémarrer et refaites un hijackthis.
Allez sur http://www.hijackthis.de/fr pour soumettre le log à analyse, dans la page d'analyse clickez en bas sur «Sauvegarder lévaluation» une nouvelle fenêtre s'ouvre. S'il vous plaît pointez ici (et non dans ma bal :) l'url correspondante (du même type que celle que j'ai mise au début de ce post.)
