W32/Sality!mem virus ou troja??

Bonjour petrus

En lançant une analyse avec MacAfee, je me suis rendu compte de l'existence
d'un cheval de troie:
w32/Sality!mem situé dans C:windowssystem32winlogon.exe;

C'est un ver... pas un cheval de Troie.

Il n'est pas mis en quarantaine par Mac Afee et inaccessible par rechercher !
Stinger de MacAfee le reconnait mais ne l'enlève pas plus. J'avais pourtant
désactiver la restauration comme recommandé pour enlever ce virus ou cheval
de Troie.

OK et lassé ce service de rstauration inactif pour le moment.

Ceci est quand même frustrant pour un logiciel que l'on paie assez cher!
Les Spyware and destroy , les anti-malwares Malwarebytes et a-squared ne le
detecte pas.
J'avais essayé un antivirus enfree Nod32 sans succès.

OK.

Comment éradiquer cet intrus dont on redoute toujours les effets.

1)
Utilise Kaspersky en ligne: [Hyperlien direct]
Marche avec n'importe quel navigateur et utilise Java de Sun Microsystem
http://www.kaspersky.com/kos/eng/partner/71365/languages/english/check.html?n21923788125

La procédure est très complète mais va prendre beaucoup de temps...

2)
Quelques références:
http://fr.mcafee.com/virusInfo/default.asp?idÞscription&virus_k0219
http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.aspx

http://www.symantec.com/en/ca/business/security_response/attacksignatures/detail.jsp?asid"344
« (Symantec: traduit par moi.)

Lorsque le virus est exécuté, il installe les fichiers suivants:

% System% wmdrtc32.dll (Une copie de W32.HLLP.Sality.)
% System% wmdrtc32.dl_ (Une copie archivée de W32.HLLP.Sality.)
Le virus puis ajoute les lignes suivantes dans le fichier% Windir%
System.ini:
[MCIDRV_VER]
DEVICEN1 = [RANDOM_NUMBER]

Le virus injecte ensuite ce fichier. Dll dans tous les processus en
exécution.
Le virus réside dans la mémoire et infecte tous les fichiers exécutables
portables qu'il trouve.
Ensuite, le virus tente de se connecter aux sites Web malveillants.
Le virus se termine et supprime des services et des processus qui ont
certains noms.
Le virus supprime ensuite toutes les valeurs et les sous-clés dans les
sous-clés suivantes, ce qui empêche l'ordinateur compromis de démarrer
en mode sans échec:
HKEY_LOCAL_MACHINE System CurrentControlSet Control SafeBoot
HKEY_CURRENT_USER System CurrentControlSet Control SafeBoot
»

3) Tiens-nous au courant pour obtenir de l'aide supplémentaire
et pour nous donner le résultat du scan ...

Bon courage. A+ :)

--
Claude LaFrenière [climenole]

Site: http://climenole.wordpress.com/
Courriel / Xmpp: climenole[arobas]gmail[point]com
Messenger: claudelafreniere[arobas]msn[point]com
Skype: climenole

petrus wrote:

Bonsoir,
En lançant une analyse avec MacAfee, je me suis rendu compte de
l'existence d'un cheval de troie:
w32/Sality!mem situé dans C:windowssystem32winlogon.exe;
Il n'est pas mis en quarantaine par Mac Afee et inaccessible par
rechercher ! Stinger de MacAfee le reconnait mais ne l'enlève pas
plus. J'avais pourtant désactiver la restauration comme recommandé
pour enlever ce virus ou cheval de Troie.
Ceci est quand même frustrant pour un logiciel que l'on paie assez
cher!
Les Spyware and destroy , les anti-malwares Malwarebytes et
a-squared ne le detecte pas.
J'avais essayé un antivirus enfree Nod32 sans succès.

Comment éradiquer cet intrus dont on redoute toujours les effets.

Merci pour votre soutien et aide.

Cordialement
Petrus

Bonjour
Virus super récent : date du 15/09/08
Comme le dit CLF, virus très malveillant
Mc Afee dit le supprimer avec cette dernière mise à jour :
http://www.mcafee.com/apps/downloads/security_updates/dat.asp
Herser

Merci pour votre prompte réponse.
J'essaie en vain de charger Kaspersky qui veut Java 1.5, pourtant j'ai java
TM 6 Update 7.
--
Cordialement
Petrus


"Claude LaFrenière" a écrit :

Bonjour petrus


> En lançant une analyse avec MacAfee, je me suis rendu compte de l'existence
> d'un cheval de troie:
> w32/Sality!mem situé dans C:windowssystem32winlogon.exe;

C'est un ver... pas un cheval de Troie.

> Il n'est pas mis en quarantaine par Mac Afee et inaccessible par rechercher !
> Stinger de MacAfee le reconnait mais ne l'enlève pas plus. J'avais pourtant
> désactiver la restauration comme recommandé pour enlever ce virus ou cheval
> de Troie.

OK et lassé ce service de rstauration inactif pour le moment.

> Ceci est quand même frustrant pour un logiciel que l'on paie assez cher!
> Les Spyware and destroy , les anti-malwares Malwarebytes et a-squared ne le
> detecte pas.
> J'avais essayé un antivirus enfree Nod32 sans succès.

OK.

>
> Comment éradiquer cet intrus dont on redoute toujours les effets.

1)
Utilise Kaspersky en ligne: [Hyperlien direct]
Marche avec n'importe quel navigateur et utilise Java de Sun Microsystem
http://www.kaspersky.com/kos/eng/partner/71365/languages/english/check.html?n21923788125

La procédure est très complète mais va prendre beaucoup de temps...

2)
Quelques références:
http://fr.mcafee.com/virusInfo/default.asp?idÞscription&virus_k0219
http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.aspx

http://www.symantec.com/en/ca/business/security_response/attacksignatures/detail.jsp?asid"344
« (Symantec: traduit par moi.)

Lorsque le virus est exécuté, il installe les fichiers suivants:

% System% wmdrtc32.dll (Une copie de W32.HLLP.Sality.)
% System% wmdrtc32.dl_ (Une copie archivée de W32.HLLP.Sality.)
Le virus puis ajoute les lignes suivantes dans le fichier% Windir%
System.ini:
[MCIDRV_VER]
DEVICEN1 = [RANDOM_NUMBER]

Le virus injecte ensuite ce fichier. Dll dans tous les processus en
exécution.
Le virus réside dans la mémoire et infecte tous les fichiers exécutables
portables qu'il trouve.
Ensuite, le virus tente de se connecter aux sites Web malveillants.
Le virus se termine et supprime des services et des processus qui ont
certains noms.
Le virus supprime ensuite toutes les valeurs et les sous-clés dans les
sous-clés suivantes, ce qui empêche l'ordinateur compromis de démarrer
en mode sans échec:
HKEY_LOCAL_MACHINE System CurrentControlSet Control SafeBoot
HKEY_CURRENT_USER System CurrentControlSet Control SafeBoot
»

3) Tiens-nous au courant pour obtenir de l'aide supplémentaire
et pour nous donner le résultat du scan ...

Bon courage. A+ :)

--
Claude LaFrenière [climenole]

Site: http://climenole.wordpress.com/
Courriel / Xmpp: climenole[arobas]gmail[point]com
Messenger: claudelafreniere[arobas]msn[point]com
Skype: climenole

Bonsoir Claude,

Je reviens avec de piteuses nouvelles : Kaspersky n'a rien détecté, et pour
cause il n'est pas programmable pour les virus, vers et chevaux de Troie, sic!
Je vais voir la solution Herser....
Cordialement
Petrus


"Claude LaFrenière" a écrit :

Bonjour petrus


> En lançant une analyse avec MacAfee, je me suis rendu compte de l'existence
> d'un cheval de troie:
> w32/Sality!mem situé dans C:windowssystem32winlogon.exe;

C'est un ver... pas un cheval de Troie.

> Il n'est pas mis en quarantaine par Mac Afee et inaccessible par rechercher !
> Stinger de MacAfee le reconnait mais ne l'enlève pas plus. J'avais pourtant
> désactiver la restauration comme recommandé pour enlever ce virus ou cheval
> de Troie.

OK et lassé ce service de rstauration inactif pour le moment.

> Ceci est quand même frustrant pour un logiciel que l'on paie assez cher!
> Les Spyware and destroy , les anti-malwares Malwarebytes et a-squared ne le
> detecte pas.
> J'avais essayé un antivirus enfree Nod32 sans succès.

OK.

>
> Comment éradiquer cet intrus dont on redoute toujours les effets.

1)
Utilise Kaspersky en ligne: [Hyperlien direct]
Marche avec n'importe quel navigateur et utilise Java de Sun Microsystem
http://www.kaspersky.com/kos/eng/partner/71365/languages/english/check.html?n21923788125

La procédure est très complète mais va prendre beaucoup de temps...

2)
Quelques références:
http://fr.mcafee.com/virusInfo/default.asp?idÞscription&virus_k0219
http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.aspx

http://www.symantec.com/en/ca/business/security_response/attacksignatures/detail.jsp?asid"344
« (Symantec: traduit par moi.)

Lorsque le virus est exécuté, il installe les fichiers suivants:

% System% wmdrtc32.dll (Une copie de W32.HLLP.Sality.)
% System% wmdrtc32.dl_ (Une copie archivée de W32.HLLP.Sality.)
Le virus puis ajoute les lignes suivantes dans le fichier% Windir%
System.ini:
[MCIDRV_VER]
DEVICEN1 = [RANDOM_NUMBER]

Le virus injecte ensuite ce fichier. Dll dans tous les processus en
exécution.
Le virus réside dans la mémoire et infecte tous les fichiers exécutables
portables qu'il trouve.
Ensuite, le virus tente de se connecter aux sites Web malveillants.
Le virus se termine et supprime des services et des processus qui ont
certains noms.
Le virus supprime ensuite toutes les valeurs et les sous-clés dans les
sous-clés suivantes, ce qui empêche l'ordinateur compromis de démarrer
en mode sans échec:
HKEY_LOCAL_MACHINE System CurrentControlSet Control SafeBoot
HKEY_CURRENT_USER System CurrentControlSet Control SafeBoot
»

3) Tiens-nous au courant pour obtenir de l'aide supplémentaire
et pour nous donner le résultat du scan ...

Bon courage. A+ :)

--
Claude LaFrenière [climenole]

Site: http://climenole.wordpress.com/
Courriel / Xmpp: climenole[arobas]gmail[point]com
Messenger: claudelafreniere[arobas]msn[point]com
Skype: climenole

Bonsoir

Merci pour votre proposition.
J'ai lancé le dit up date, mais le fichier
http://download.nai.com/products/licensed/superdat/nai/French/5388xdat.exe
ne peut être ouvert car non reconnu???
Quant au dat 5388.zip il ne donne que des fichiers video de Nero ??
Il y a donc un problème pour valider ces fichiers
J'avais déjà essayé cette voie hier!
Cordialement
Petrus


"Herser" a écrit :

petrus wrote:
> Bonsoir,
> En lançant une analyse avec MacAfee, je me suis rendu compte de
> l'existence d'un cheval de troie:
> w32/Sality!mem situé dans C:windowssystem32winlogon.exe;
> Il n'est pas mis en quarantaine par Mac Afee et inaccessible par
> rechercher ! Stinger de MacAfee le reconnait mais ne l'enlève pas
> plus. J'avais pourtant désactiver la restauration comme recommandé
> pour enlever ce virus ou cheval de Troie.
> Ceci est quand même frustrant pour un logiciel que l'on paie assez
> cher!
> Les Spyware and destroy , les anti-malwares Malwarebytes et
> a-squared ne le detecte pas.
> J'avais essayé un antivirus enfree Nod32 sans succès.
>
> Comment éradiquer cet intrus dont on redoute toujours les effets.
>
> Merci pour votre soutien et aide.
>
> Cordialement
> Petrus

Bonjour
Virus super récent : date du 15/09/08
Comme le dit CLF, virus très malveillant
Mc Afee dit le supprimer avec cette dernière mise à jour :
http://www.mcafee.com/apps/downloads/security_updates/dat.asp
Herser

petrus wrote:

Bonsoir

Merci pour votre proposition.
J'ai lancé le dit up date, mais le fichier
http://download.nai.com/products/licensed/superdat/nai/French/5388xdat.exe
ne peut être ouvert car non reconnu???
Quant au dat 5388.zip il ne donne que des fichiers video de Nero ??
Il y a donc un problème pour valider ces fichiers
J'avais déjà essayé cette voie hier!
Cordialement
Petrus

Re
Une recherche sur le Web montre que seul McAfee le trouve, et encore en
recherche heuristique.
C'est à dire qu'il pense que ça ressemble à Sality.
Un lien US pour cete infection donne le log de HiJackThis que j'ai testé :
rien de méchant
As-tu d'autres symptomes d'infection ?
Envoie ton "winlogon.exe" sur Virus Total :
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1
Il sera examiné par une trentaire d'AV
Dis s'il trouve qqchose
Herser

Bonjour Herser
Merci pour votre aide.
Virus total signale que le fichier a déjà été analys, donne bien des
indications sur les sites et versions mais pas de résultats. Mon essai de
lancer le patch MacAfee ayant échoué, car non reconnu par MacAfee (??),
j'essaierais un autre antivirus (gratuit de préférence).

Je présume que la vraie mauvaise idée serait de supprimer winlogon, de
rebooter en espérant que cela suffise à éradiquer, on peut rêver !



Bonne journée
--
Cordialement
Petrus


"Herser" a écrit :

petrus wrote:
> Bonsoir
>
> Merci pour votre proposition.
> J'ai lancé le dit up date, mais le fichier
> http://download.nai.com/products/licensed/superdat/nai/French/5388xdat.exe
> ne peut être ouvert car non reconnu???
> Quant au dat 5388.zip il ne donne que des fichiers video de Nero ??
> Il y a donc un problème pour valider ces fichiers
> J'avais déjà essayé cette voie hier!
> Cordialement
> Petrus
>
Re
Une recherche sur le Web montre que seul McAfee le trouve, et encore en
recherche heuristique.
C'est à dire qu'il pense que ça ressemble à Sality.
Un lien US pour cete infection donne le log de HiJackThis que j'ai testé :
rien de méchant
As-tu d'autres symptomes d'infection ?
Envoie ton "winlogon.exe" sur Virus Total :
http://www.virustotal.com/fr/analisis/bed26dccb0f52a2c9cf6170f69f102a1
Il sera examiné par une trentaire d'AV
Dis s'il trouve qqchose
Herser

petrus wrote:

Bonjour Herser
Merci pour votre aide.
Virus total signale que le fichier a déjà été analys, donne bien des
indications sur les sites et versions mais pas de résultats. Mon
essai de lancer le patch MacAfee ayant échoué, car non reconnu par
MacAfee (??), j'essaierais un autre antivirus (gratuit de préférence).

Je présume que la vraie mauvaise idée serait de supprimer winlogon, de
rebooter en espérant que cela suffise à éradiquer, on peut rêver !

Re
Mauvaise idée, effectivement
C'est un fichier système nécessaire au démarrage des sessions.
Donc ton PC risque de redémarrer sans arrêt.
Tu ne dis pas si tu as des signes qui pourraient indiquer une infection.
Rien d'anormal ?
Herser

Bon Dimanche à tous !

"petrus" a écrit dans le message
news:41ABEA45-B9DA-4ADD-AA54-0DA31A35E77E@microsoft.com...

Bonsoir,
En lançant une analyse avec MacAfee, je me suis rendu compte de
l'existence
d'un cheval de troie:
w32/Sality!mem situé dans C:windowssystem32winlogon.exe;
Il n'est pas mis en quarantaine par Mac Afee et inaccessible par
rechercher !

Stinger de MacAfee le reconnait mais ne l'enlève pas plus. J'avais
pourtant
désactiver la restauration comme recommandé pour enlever ce virus ou
cheval
de Troie.
...

_ ?? as-tu essayé de faire le scan' Stinger *en mode sans
échec*/Administrateur ??


Version v10.0.1.602 du 18.090.08 --» http://vil.nai.com/VIL/stinger/
--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous j@ckie
http://assiste.com.free.fr/la_manip.html

j@ckie wrote:

Bon Dimanche à tous !

"petrus" a écrit dans le message
news:41ABEA45-B9DA-4ADD-AA54-0DA31A35E77E@microsoft.com...

Bonsoir,
En lançant une analyse avec MacAfee, je me suis rendu compte de
l'existence
d'un cheval de troie:
w32/Sality!mem situé dans C:windowssystem32winlogon.exe;
Il n'est pas mis en quarantaine par Mac Afee et inaccessible par
rechercher !

Stinger de MacAfee le reconnait mais ne l'enlève pas plus. J'avais
pourtant
désactiver la restauration comme recommandé pour enlever ce virus ou
cheval
de Troie.
...

_ ?? as-tu essayé de faire le scan' Stinger *en mode sans
échec*/Administrateur ??


Version v10.0.1.602 du 18.090.08 --» http://vil.nai.com/VIL/stinger/

Coucou j@ckie
petrus ne dit pas s'il a essayé Stinger en mode sans échec.
Mais il y en a qui ont fait un DOS scan conseillé par McAfee qui ne trouve
rien :
http://forums.mcafeehelp.com/showthread.php?sÖ4482da316bc4c3d78f29dbf1dbdeec&t"3870
Ca ressemble de + en + à un faux positif.
Peut-être que certains avec McAfee nous lirons et dirons si ça continue
Bonne soirée
Herser