Un collègue vient de m'appeler car il vient de repérer 2 fichiers bizarres
"spoolxp.exe" et "svchost.exe" qui se trouvent dans "C:Windows"
Ces 2 fichiers présentaient une icône ressemblant à celle du démineur et
chacun pesaient 61Ko.
Son Antivirus (NAV 2003... peut être à jour... n'avait rien vu). Il n'a pas
encore rebooté sa machine...
Est ce que cela inspire quelqu'un?
mon frangin a été infecté par scchost mais attention ,windows utilise le vrai qui se trouve dans c:_winnt/system32.
il me semble que le virus était dans c:winntsystem32driver
a ce moment la ,le virus empêchait Norton de s'activer .
Config avec win2000. -- A +
Rodolphe
!!! Adresse Anti Spam !!!
Ruofud
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage... il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans C:Windows et au redémarrage de Win ça lui disait qu'il manquait spoolxp.exe... Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que" et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR, restauration... etc
Donc Format C:
On ne saura pas le nom de la bestiole!
BD
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage...
il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans
C:Windows et au redémarrage de Win ça lui disait qu'il manquait
spoolxp.exe...
Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que"
et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR,
restauration... etc
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage... il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans C:Windows et au redémarrage de Win ça lui disait qu'il manquait spoolxp.exe... Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que" et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR, restauration... etc
Donc Format C:
On ne saura pas le nom de la bestiole!
BD
H. Michaud
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage... il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans C:Windows et au redémarrage de Win ça lui disait qu'il manquait spoolxp.exe... Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que" et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR, restauration... etc Donc Format C:
Donc, au final il a fait plus de dégâts sur son ordinateur que l'intrus n'en aurait probablement causé... Avec un peu de méthode et moins de précipitation, il aurait sans doute évité ce formatage.
La suppression des fichiers était sans doute prématurée, en les renommant il aurait gardé une chance de les récupérer ou de les faire examiner de plus près afin d'identifier l'intrus avec précision. En tout cas, si les deux fichiers correspondaient bien au malware, ce qu'il a fait était insuffisant, comme la suite l'a montré : une infection s'accompagne en général de modifications apportées au système afin de permettre le lancement automatique de l'intrus : <http://www.lacave.net/~jokeuse/usenet/demarrage.html> Dans ce cas, la suppression brutale des fichiers peut perturber le bon fonctionnement de l'OS par la suite... Son impossibilité de lancer des exécutables me semble correspondre à ce qui est décrit en section 16 : Détournement de commandes dans le registre. Sauf malware particulièrement vicieux, c'était réparable assez simplement.
Bref, beaucoup de temps perdu (sans parler des données non sauvegardées avant formatage) par manque d'information, hélas. :o(
On ne saura pas le nom de la bestiole!
Ca, ça reste à voir, malheureusement...
Les vers, virus, chevaux de troie, etc. n'apparaissent pas sur un ordinateur par génération spontanée, il faut qu'une faille dans la sécurité du système leur permette de s'installer : trou de sécurité dans l'OS, dans un logiciel, ou tout simplement en face du clavier, le doigt sur le bouton de la souris.
Si ton collègue se contente de réinstaller sans boucher cette faille quelle qu'elle soit, il y a des chances que dès que l'intrus se repointera à sa porte, il puisse s'installer tranquillement comme la première fois, et alors tout recommencera...
Donc, il faut aussi s'assurer que le système est aussi sécurisé que possible : - La première chose à faire après la réinstallation, c'est d'aller faire un tour sur windowsUpdate pour télécharger et installer toutes les mises à jour de sécurité disponibles. Sous XP, commencer par activer le firewall intégré : il ne protège qu'en entrée, mais il évitera que le temps que les mises à jour ne soient installées, l'ordinateur ne reste ouvert à tous les vents. Mettre à jour Windows et IE/OE s'ils sont utilisés est le plus urgent. Il peut être prudent une fois que c'est fait de vérifier qu'il n'existe pas de faille dans les autres logiciels installés en allant sur leur site web voir s'il existe des mises à jour de sécurité.
- Vérifier que la configuration du système n'est pas dangereuse : partages réseau non nécessaires et non sécurisés, configuration d'IE trop laxiste vis à vis des contenus dangereux comme les ActiveX, etc. sont à éviter.
- Si la faille est en face du clavier, il va falloir qu'il fasse un peu plus attention à ce qu'il exécute sur son ordinateur. La lecture de la FAQ, en particulier la section 3.5, serait déjà un bon début : <http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>
BD LN
-- FAQ du forum fr.comp.securite.virus : <http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html> Autres ressources : <http://www.lacave.net/~jokeuse/usenet/fcsv.html>
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage...
il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans
C:Windows et au redémarrage de Win ça lui disait qu'il manquait
spoolxp.exe...
Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que"
et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR,
restauration... etc
Donc Format C:
Donc, au final il a fait plus de dégâts sur son ordinateur que l'intrus
n'en aurait probablement causé...
Avec un peu de méthode et moins de précipitation, il aurait sans doute
évité ce formatage.
La suppression des fichiers était sans doute prématurée, en les
renommant il aurait gardé une chance de les récupérer ou de les faire
examiner de plus près afin d'identifier l'intrus avec précision.
En tout cas, si les deux fichiers correspondaient bien au malware, ce
qu'il a fait était insuffisant, comme la suite l'a montré : une
infection s'accompagne en général de modifications apportées au système
afin de permettre le lancement automatique de l'intrus :
<http://www.lacave.net/~jokeuse/usenet/demarrage.html>
Dans ce cas, la suppression brutale des fichiers peut perturber le bon
fonctionnement de l'OS par la suite...
Son impossibilité de lancer des exécutables me semble correspondre à ce
qui est décrit en section 16 : Détournement de commandes dans le
registre. Sauf malware particulièrement vicieux, c'était réparable assez
simplement.
Bref, beaucoup de temps perdu (sans parler des données non sauvegardées
avant formatage) par manque d'information, hélas. :o(
On ne saura pas le nom de la bestiole!
Ca, ça reste à voir, malheureusement...
Les vers, virus, chevaux de troie, etc. n'apparaissent pas sur un
ordinateur par génération spontanée, il faut qu'une faille dans la
sécurité du système leur permette de s'installer : trou de sécurité dans
l'OS, dans un logiciel, ou tout simplement en face du clavier, le doigt
sur le bouton de la souris.
Si ton collègue se contente de réinstaller sans boucher cette faille
quelle qu'elle soit, il y a des chances que dès que l'intrus se
repointera à sa porte, il puisse s'installer tranquillement comme la
première fois, et alors tout recommencera...
Donc, il faut aussi s'assurer que le système est aussi sécurisé que
possible :
- La première chose à faire après la réinstallation, c'est d'aller faire
un tour sur windowsUpdate pour télécharger et installer toutes les mises
à jour de sécurité disponibles. Sous XP, commencer par activer le
firewall intégré : il ne protège qu'en entrée, mais il évitera que le
temps que les mises à jour ne soient installées, l'ordinateur ne reste
ouvert à tous les vents.
Mettre à jour Windows et IE/OE s'ils sont utilisés est le plus urgent.
Il peut être prudent une fois que c'est fait de vérifier qu'il n'existe
pas de faille dans les autres logiciels installés en allant sur leur
site web voir s'il existe des mises à jour de sécurité.
- Vérifier que la configuration du système n'est pas dangereuse :
partages réseau non nécessaires et non sécurisés, configuration d'IE
trop laxiste vis à vis des contenus dangereux comme les ActiveX, etc.
sont à éviter.
- Si la faille est en face du clavier, il va falloir qu'il fasse un peu
plus attention à ce qu'il exécute sur son ordinateur.
La lecture de la FAQ, en particulier la section 3.5, serait déjà un bon
début : <http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>
BD
LN
--
FAQ du forum fr.comp.securite.virus :
<http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>
Autres ressources :
<http://www.lacave.net/~jokeuse/usenet/fcsv.html>
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage... il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans C:Windows et au redémarrage de Win ça lui disait qu'il manquait spoolxp.exe... Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que" et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR, restauration... etc Donc Format C:
Donc, au final il a fait plus de dégâts sur son ordinateur que l'intrus n'en aurait probablement causé... Avec un peu de méthode et moins de précipitation, il aurait sans doute évité ce formatage.
La suppression des fichiers était sans doute prématurée, en les renommant il aurait gardé une chance de les récupérer ou de les faire examiner de plus près afin d'identifier l'intrus avec précision. En tout cas, si les deux fichiers correspondaient bien au malware, ce qu'il a fait était insuffisant, comme la suite l'a montré : une infection s'accompagne en général de modifications apportées au système afin de permettre le lancement automatique de l'intrus : <http://www.lacave.net/~jokeuse/usenet/demarrage.html> Dans ce cas, la suppression brutale des fichiers peut perturber le bon fonctionnement de l'OS par la suite... Son impossibilité de lancer des exécutables me semble correspondre à ce qui est décrit en section 16 : Détournement de commandes dans le registre. Sauf malware particulièrement vicieux, c'était réparable assez simplement.
Bref, beaucoup de temps perdu (sans parler des données non sauvegardées avant formatage) par manque d'information, hélas. :o(
On ne saura pas le nom de la bestiole!
Ca, ça reste à voir, malheureusement...
Les vers, virus, chevaux de troie, etc. n'apparaissent pas sur un ordinateur par génération spontanée, il faut qu'une faille dans la sécurité du système leur permette de s'installer : trou de sécurité dans l'OS, dans un logiciel, ou tout simplement en face du clavier, le doigt sur le bouton de la souris.
Si ton collègue se contente de réinstaller sans boucher cette faille quelle qu'elle soit, il y a des chances que dès que l'intrus se repointera à sa porte, il puisse s'installer tranquillement comme la première fois, et alors tout recommencera...
Donc, il faut aussi s'assurer que le système est aussi sécurisé que possible : - La première chose à faire après la réinstallation, c'est d'aller faire un tour sur windowsUpdate pour télécharger et installer toutes les mises à jour de sécurité disponibles. Sous XP, commencer par activer le firewall intégré : il ne protège qu'en entrée, mais il évitera que le temps que les mises à jour ne soient installées, l'ordinateur ne reste ouvert à tous les vents. Mettre à jour Windows et IE/OE s'ils sont utilisés est le plus urgent. Il peut être prudent une fois que c'est fait de vérifier qu'il n'existe pas de faille dans les autres logiciels installés en allant sur leur site web voir s'il existe des mises à jour de sécurité.
- Vérifier que la configuration du système n'est pas dangereuse : partages réseau non nécessaires et non sécurisés, configuration d'IE trop laxiste vis à vis des contenus dangereux comme les ActiveX, etc. sont à éviter.
- Si la faille est en face du clavier, il va falloir qu'il fasse un peu plus attention à ce qu'il exécute sur son ordinateur. La lecture de la FAQ, en particulier la section 3.5, serait déjà un bon début : <http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>
BD LN
-- FAQ du forum fr.comp.securite.virus : <http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html> Autres ressources : <http://www.lacave.net/~jokeuse/usenet/fcsv.html>
Ruofud
Merci de tous ces bons conseils... que je lui ai transmis... sa machine est à nouveau en état de marche. Je suis convaincu qu'il appliquera ces conseils à la lettre. Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne cherchons pas ailleurs!
Merci
BD
Merci de tous ces bons conseils... que je lui ai transmis... sa machine est
à nouveau en état de marche. Je suis convaincu qu'il appliquera ces conseils
à la lettre.
Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne cherchons
pas ailleurs!
Merci de tous ces bons conseils... que je lui ai transmis... sa machine est à nouveau en état de marche. Je suis convaincu qu'il appliquera ces conseils à la lettre. Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne cherchons pas ailleurs!
Merci
BD
djehuti
salut "Ruofud" a écrit dans le message news: 4076695d$0$19496$
Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne cherchons pas ailleurs!
c'est clair :-D
si les symptomes persistent [1]... appliquer (au minimum) une "quarantaine" d'une dizaine de jours sur les fichiers suspects, avant de les (re)passer à l'AV à jour
[1] pirater... c'est mal
@tchao
salut
"Ruofud" <Dranreb@No_free_spam.fr> a écrit dans le message news:
4076695d$0$19496$636a15ce@news.free.fr
Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne
cherchons pas ailleurs!
c'est clair :-D
si les symptomes persistent [1]... appliquer (au minimum) une "quarantaine"
d'une dizaine de jours sur les fichiers suspects, avant de les (re)passer à
l'AV à jour
salut "Ruofud" a écrit dans le message news: 4076695d$0$19496$
Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne cherchons pas ailleurs!
c'est clair :-D
si les symptomes persistent [1]... appliquer (au minimum) une "quarantaine" d'une dizaine de jours sur les fichiers suspects, avant de les (re)passer à l'AV à jour
