recherche nom virus sur clé inconnu malgré scan antiviral

[vanvan]

Bonjour.

J'ai sous la main une machine vérolé mais je n'arrive pas à trouver le nom du virus qui pose ce problème malgré un scan antiviral sous sophos, mac affee, et même si le mail qui a été la cause de cette probagation virale était passé par clamav.
En gros je me retrouve à la recherche d'un virus qui est pour l'instant inconnu et dont la plupart des antivirus et leurs signatures ne le reconnaissent pas encore.
D'où ma question, y aurait t'il quelqu'un qui aurait été confronté à ce problème et qui aurait trouvé comme executable vérolé sr_exe.exe et quelque un dans le genre sa.exe .......


On retrouve la trace de ce virus dans la base de registre :

Hkey machine\software\microsoft\windows\currentversion\run\ avec la clé de registre suivante : sm sr_exe.exe

Voilà où je coine pour l'instant et le pourquoi de ce post.

Merci d'avance pour les réponses qui seront apportées à ce post.

Bonne journée.

[krisnalada]

a tous hazard tu as essayé hijackthis.exe, voir si il pouvait te le supprimer ...

[frost]

j'ai procédé à une recherche sur sr_exe.exe et hélas, je n'ai rien trouvé par contre pour ton fichier sa.exe, j'ai trouvé des informations; ceci dit rien ne prouve que cela concerne ton virus :

Filename: sa.exe
Programme : Spellex Anywhere
Evaluation : 2
Comments: Spellex-Anywhere - adds spell checking functionality to almost any Window program. Create a shortcut and run manually before it's to be used


Maintenant je vais fouiller un peu plus, car j'ai trouvé aussi cela sur symantech :

Backdoor.IRC.Aladinz.B

Vérifie si tu trouves ces programmes suivants : Deta.exe,Psexec.exe,Libparse.exe,Systrey.exe

[vanvan]

Merci de vos réponses.

En tout cas, pas un seul .exe tel que deta, systrey, psexec et/ou libparse.

Par contre j'ai trouvé un ensemble d'EXE de type sf_exe.exe de même avec sa et sr
Ils font des accès à certaines DLL dans lequels j'ai trouvé une adresse mail sur un hébergeur finlandais ainsi qu'un nom.
Je vais approfondir, mais je suis en train de me demander s'il ne s'agit pas d'un spyware qui aurait été mal codé et qui bouclait sur lui même au moment du renvoi des infos scannées sur la machine.

Je suis en train de tester spy aware et spy blaster. je finirai avec adaware pour éliminer ou non cette piste.

Par contre j'ai trouvé des accès réguliers à la base de registre à un exe qui se nomme mixer.exe ça vous dis quelque chose ?

Merci encore pour vos réponses.

[vanvan]

Sinon pour préciser, il n'y a rien de bizarre du côté des processus actif

[remi]

toutes les sociétés d'antivirus ont une "cellule de recherche".

Tu peux leur faire parvenir le fichier par mail, et il te répondront.

Pour la société trend(officescan, PCcillin) :

Dès lors que vous aurez soumis un fichier suspect (Zippé avec mot de passe "virus") à virus_doctor@trendmicro.fr, vous recevrez un numéro de demande de support (numéro à conserver pour toute communication ultérieure). Si le fichier soumis contient du code malicieux (s'il est infecté), TrendLabs vous fournira un fichier de signatures.

[vanvan]

C'est ce que j'ai prévu de faire au final car côté spywares c pas concluant.

Merci pour votre aide à tous.

Je complèterai ce post si j'ai plus d'informations car là je viens de passer la suite définitivement