Virus or not virus?

Le
Ruofud
Un collègue vient de m'appeler car il vient de repérer 2 fichiers bizarres
"spoolxp.exe" et "svchost.exe" qui se trouvent dans "C:Windows"
Ces 2 fichiers présentaient une icône ressemblant à celle du démineur et
chacun pesaient 61Ko.
Son Antivirus (NAV 2003 peut être à jour n'avait rien vu). Il n'a pas
encore rebooté sa machine
Est ce que cela inspire quelqu'un?

Merci

BD
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1114613
Salut,

Ruofud:
Un collègue vient de m'appeler car il vient de repérer 2
fichiers bizarres "spoolxp.exe" et "svchost.exe" qui se
trouvent dans "C:Windows"


Il en upload une copie ici:
http://www.kaspersky.com/fr/remoteviruschk.html

Reviens avec le nom de la bestiole...

--
joke0

Rodpod
Le #1114611
mon frangin a été infecté par scchost mais attention ,windows utilise le
vrai qui se trouve dans
c:_winnt/system32.

il me semble que le virus était dans c:winntsystem32driver

a ce moment la ,le virus empêchait Norton de s'activer .

Config avec win2000.
--
A +

Rodolphe

!!! Adresse Anti Spam !!!
Ruofud
Le #1114462
... trop tard... il m'a rappelé tout à l'heure et il était en reformatage...
il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans
C:Windows et au redémarrage de Win ça lui disait qu'il manquait
spoolxp.exe...
Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que"
et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR,
restauration... etc

Donc Format C:

On ne saura pas le nom de la bestiole!

BD
H. Michaud
Le #1492603

... trop tard... il m'a rappelé tout à l'heure et il était en reformatage...
il a supprimé les fichiers "bizarres" spollxp.exe et svchost.exe dans
C:Windows et au redémarrage de Win ça lui disait qu'il manquait
spoolxp.exe...
Il ne pouvait plus rien éxécuter sauf s'il faisait "éxécuter en tant que"
et ça ne marchait pas pour pour de nombreux progs... pas accès à la BdR,
restauration... etc
Donc Format C:


Donc, au final il a fait plus de dégâts sur son ordinateur que l'intrus
n'en aurait probablement causé...
Avec un peu de méthode et moins de précipitation, il aurait sans doute
évité ce formatage.

La suppression des fichiers était sans doute prématurée, en les
renommant il aurait gardé une chance de les récupérer ou de les faire
examiner de plus près afin d'identifier l'intrus avec précision.
En tout cas, si les deux fichiers correspondaient bien au malware, ce
qu'il a fait était insuffisant, comme la suite l'a montré : une
infection s'accompagne en général de modifications apportées au système
afin de permettre le lancement automatique de l'intrus :
Dans ce cas, la suppression brutale des fichiers peut perturber le bon
fonctionnement de l'OS par la suite...
Son impossibilité de lancer des exécutables me semble correspondre à ce
qui est décrit en section 16 : Détournement de commandes dans le
registre. Sauf malware particulièrement vicieux, c'était réparable assez
simplement.

Bref, beaucoup de temps perdu (sans parler des données non sauvegardées
avant formatage) par manque d'information, hélas. :o(

On ne saura pas le nom de la bestiole!


Ca, ça reste à voir, malheureusement...

Les vers, virus, chevaux de troie, etc. n'apparaissent pas sur un
ordinateur par génération spontanée, il faut qu'une faille dans la
sécurité du système leur permette de s'installer : trou de sécurité dans
l'OS, dans un logiciel, ou tout simplement en face du clavier, le doigt
sur le bouton de la souris.

Si ton collègue se contente de réinstaller sans boucher cette faille
quelle qu'elle soit, il y a des chances que dès que l'intrus se
repointera à sa porte, il puisse s'installer tranquillement comme la
première fois, et alors tout recommencera...

Donc, il faut aussi s'assurer que le système est aussi sécurisé que
possible :
- La première chose à faire après la réinstallation, c'est d'aller faire
un tour sur windowsUpdate pour télécharger et installer toutes les mises
à jour de sécurité disponibles. Sous XP, commencer par activer le
firewall intégré : il ne protège qu'en entrée, mais il évitera que le
temps que les mises à jour ne soient installées, l'ordinateur ne reste
ouvert à tous les vents.
Mettre à jour Windows et IE/OE s'ils sont utilisés est le plus urgent.
Il peut être prudent une fois que c'est fait de vérifier qu'il n'existe
pas de faille dans les autres logiciels installés en allant sur leur
site web voir s'il existe des mises à jour de sécurité.

- Vérifier que la configuration du système n'est pas dangereuse :
partages réseau non nécessaires et non sécurisés, configuration d'IE
trop laxiste vis à vis des contenus dangereux comme les ActiveX, etc.
sont à éviter.

- Si la faille est en face du clavier, il va falloir qu'il fasse un peu
plus attention à ce qu'il exécute sur son ordinateur.
La lecture de la FAQ, en particulier la section 3.5, serait déjà un bon
début :
BD
LN

--
FAQ du forum fr.comp.securite.virus :
Autres ressources :

Ruofud
Le #1492511
Merci de tous ces bons conseils... que je lui ai transmis... sa machine est
à nouveau en état de marche. Je suis convaincu qu'il appliquera ces conseils
à la lettre.
Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne cherchons
pas ailleurs!

Merci

BD
djehuti
Le #1492489
salut
"Ruofud" 4076695d$0$19496$

Il m'a avoué avoir chargé des "keygen.exe" sur Emule... alors ne
cherchons pas ailleurs!


c'est clair :-D

si les symptomes persistent [1]... appliquer (au minimum) une "quarantaine"
d'une dizaine de jours sur les fichiers suspects, avant de les (re)passer à
l'AV à jour

[1] pirater... c'est mal

@tchao

Publicité
Poster une réponse
Anonyme