voila je voudrai juste savoir la procedure normal est sur pour eliminer ce virus car partout il dise utilise tel patch ou tel patch mais en fait on c est jamais le quel j en est essayer 5 ou 6 en mode sans echec evidament toujour la . donc fais mise a jour xp impossible il bloque a cause du virus
mise a jour de l antivirus impossible il bloque enfin en font de tache ca marche mes mon proceseur et toujour a 100 pourcent et le pc rame
quel et vraiment le patch a utiliser pour ce virus car je crack et je remercie d avance tous ceux qui pouront m aider
bonne journee a vous
svchost.exe je sais plein de solution
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
par JaDiuM » 03 Avr 2004 10:17
Bonjour,
Celui ci fera l'affaire http://secuser.com/alertes/2004/welchiab.htm.
Autre conseil installez un firewall et un antivirus correct (norton à bannir)
Cdt
Celui ci fera l'affaire http://secuser.com/alertes/2004/welchiab.htm.
Autre conseil installez un firewall et un antivirus correct (norton à bannir)
Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
-
JaDiuM - Capitaine de vaisseau
- Messages: 334
- Inscrit le: 15 Jan 2004 01:00
Antivirus
par bernie50 » 06 Avr 2004 11:59
Kapersky d'accord excellent , mais aussi avg (gratuit)
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
-
bernie50 - Contre-Amiral
- Messages: 379
- Inscrit le: 13 Nov 2003 01:00
- Localisation: DOUR-Belgium
par svart » 06 Avr 2004 12:32
Ca dépend : si le processus est dans c:\windows\system32 : c'est un processus normal et nécessaire à windows
S'il est dans c:\windows\system32\drivers : c'est le virus Welchia
S'il est dans c:\windows\system32\drivers : c'est le virus Welchia
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
-
svart - Vice-Amiral
- Messages: 853
- Inscrit le: 04 Sep 2003 00:00
- Localisation: Finistère
par alx_the_barbare » 14 Avr 2004 16:20
et si il est dans c:\windows\system32\inetsrv\
moi c mon pb, et le troyen est TrojanClicker.Win32.Schorpec.q
moi c mon pb, et le troyen est TrojanClicker.Win32.Schorpec.q
-
alx_the_barbare - Enseigne de vaisseau
- Messages: 146
- Inscrit le: 01 Avr 2004 15:06
- Localisation: Rennes
Variante, nouveau Troyen ?
par fdejaigher » 15 Avr 2004 21:11
Voilà mon cas, (Soux XP Pro SP1 full updated)
J'avais pas mal d'alerte de mon firewall qui me disait que SVCHOST.exe voulait accéder à thXYZ.opsion.fr (xyz variait)
Mais parfois ce n'était pas que ce pgm, j'avais aussi le droit à WINLOGON.EXE voire service.exe, et aussi RUNDLL.EXE, RUN.EXE ....
Petit point à noter, ces fichiers étaient lancé par le comte utilisateur et non system, et toujours en majuscules... étrange...
Ces fichiers étaient la plupart du tremps localisés dans c:\windows\temp\
Il n'était pas toujours possible de tuer ce processus, et cela devenait vite agaçant, d'autant plus que mon anti-virus (Avast, qui est excellent et gratuit pour une utilisation perso, soit dit en passant) ne le détectait pas, ni les différents anti-virus en ligne, ni le Norton de mon boulot (mais là je m'en doutais déjà :p). J'ai tester le cleaner de avast, en mode sans échec, nada !
ET il y a deux jours cela devenait de plus en plus emm... car ça bouffait de plus en plus de ressource CPU !
Là le fichier s'appelait SYSTRAY.EXE
J'ai effectué différentes recherches sur internet, j'ai eu quelques résultats mais aucun ne correspondait à mon virus !
Etais-je en présence d'un nouveau virus, et ce depuis 2 mois ???
J'ai rebooté en mode sans échec.
Et la bataille a commencé.
Tout d'abortd j'ai localisé cet exécutable, comparé à l'original dont il avait pris le nom, rien à voir, pas d'information de version, taille différente...
Bonne idée ça la taille il pèse exactement 408 730 octets et explorateur l'affiche à 400ko tout rond.
Petite recherche, et je fini par retrouver tous les clones dans c:\windows\; c:\windows\system\; c:\windows\system 32; et sous le nom "winstart.exe" dans c:\Documents and Settings\$utilisateurs$\Menu Démarrer\Programmes\Démarrage !
Parmis ces fichiers un fichier à noter, run.exe et None.exe (c'est celui là qui est très fort en passant, vous allez comprendre plus loin).
Je lance ma petite appli favorite "startup.cpl", je vire la clef du registre (HKLM) SYSTEM/Rundll | SYSTEM/Rundll
Ensuite on va directement voir dans le registre, une petite recherche sur "run.exe" (parmis d'autres) et là dans la clef qui défini le shell du système au lieu d'avoir "explorer.exe", j'ai "explorer.exe run.exe".
Mazette.
Bon, supposant que le nettoyage est fini, ne trouvant pas les appel aux exe dans la base de registre je reboote en mode normal.
J'ouvre ma session, et là un petit message m'indique que windows ne trouve pas le programme None défini dans la base de registre. Gulp !
un petit CTRL+SHIFT+ESC, un oeil sur mes process, tout est normal (youpi tralala je fais alors mais c'est hors propos)
Je regedit à nouveau. petite recherche sur none.exe, rien
hum si none.exe était dans system32, le .exe est facultatif... re gulp
Recherche sur 'none', fructueue, c'est le festival ! Dans tout ça il faut distinguer le bon grain de l'ivraie... si mes souvenirs sont exacts, il s'agit d'une clef "run" ayant pour valeur "none".(c'est ça qui est malin)
Bref je relate tout ça à support@avast.com
Voici la réponse (en anglais, ce matin, et je suis en licence gratuite) :
Vérification rapide ?
Allez dans C:\windows\system
Affichez le détail
triez sur la taille
Cherchez un fichier de 400ko
Exécutable ? Pèse exactement en octets 408 730 (taille fichier, pas sur le disque
)
Oui ?
Vérifiez votre menu démarrer / Programme / Démarrage
Il y a winstart.exe ?
Oui
Bienvenue au club !
APPEL A TEMOIN
Si vous avez été victime de ce troyen, faites-moi un signe car j'ai l'impression d'être seul au monde... si tel est le cas, troyen ciblé ???? mais qui ?
[/b]
J'avais pas mal d'alerte de mon firewall qui me disait que SVCHOST.exe voulait accéder à thXYZ.opsion.fr (xyz variait)
Mais parfois ce n'était pas que ce pgm, j'avais aussi le droit à WINLOGON.EXE voire service.exe, et aussi RUNDLL.EXE, RUN.EXE ....
Petit point à noter, ces fichiers étaient lancé par le comte utilisateur et non system, et toujours en majuscules... étrange...
Ces fichiers étaient la plupart du tremps localisés dans c:\windows\temp\
Il n'était pas toujours possible de tuer ce processus, et cela devenait vite agaçant, d'autant plus que mon anti-virus (Avast, qui est excellent et gratuit pour une utilisation perso, soit dit en passant) ne le détectait pas, ni les différents anti-virus en ligne, ni le Norton de mon boulot (mais là je m'en doutais déjà :p). J'ai tester le cleaner de avast, en mode sans échec, nada !
ET il y a deux jours cela devenait de plus en plus emm... car ça bouffait de plus en plus de ressource CPU !
Là le fichier s'appelait SYSTRAY.EXE
J'ai effectué différentes recherches sur internet, j'ai eu quelques résultats mais aucun ne correspondait à mon virus !
Etais-je en présence d'un nouveau virus, et ce depuis 2 mois ???
J'ai rebooté en mode sans échec.
Et la bataille a commencé.
Tout d'abortd j'ai localisé cet exécutable, comparé à l'original dont il avait pris le nom, rien à voir, pas d'information de version, taille différente...
Bonne idée ça la taille il pèse exactement 408 730 octets et explorateur l'affiche à 400ko tout rond.
Petite recherche, et je fini par retrouver tous les clones dans c:\windows\; c:\windows\system\; c:\windows\system 32; et sous le nom "winstart.exe" dans c:\Documents and Settings\$utilisateurs$\Menu Démarrer\Programmes\Démarrage !
Parmis ces fichiers un fichier à noter, run.exe et None.exe (c'est celui là qui est très fort en passant, vous allez comprendre plus loin).
Je lance ma petite appli favorite "startup.cpl", je vire la clef du registre (HKLM) SYSTEM/Rundll | SYSTEM/Rundll
Ensuite on va directement voir dans le registre, une petite recherche sur "run.exe" (parmis d'autres) et là dans la clef qui défini le shell du système au lieu d'avoir "explorer.exe", j'ai "explorer.exe run.exe".
Mazette.
Bon, supposant que le nettoyage est fini, ne trouvant pas les appel aux exe dans la base de registre je reboote en mode normal.
J'ouvre ma session, et là un petit message m'indique que windows ne trouve pas le programme None défini dans la base de registre. Gulp !
un petit CTRL+SHIFT+ESC, un oeil sur mes process, tout est normal (youpi tralala je fais alors mais c'est hors propos)
Je regedit à nouveau. petite recherche sur none.exe, rien
hum si none.exe était dans system32, le .exe est facultatif... re gulp
Recherche sur 'none', fructueue, c'est le festival ! Dans tout ça il faut distinguer le bon grain de l'ivraie... si mes souvenirs sont exacts, il s'agit d'une clef "run" ayant pour valeur "none".(c'est ça qui est malin)
Bref je relate tout ça à support@avast.com
Voici la réponse (en anglais, ce matin, et je suis en licence gratuite) :
the file is a backdoor trojan horse. Thank you for sending the
sample, the detection will be added in the next virus datebase update (I
proposed the name Win32:Nonenserv [Trj], but I don't know if it will be
accepted).
You probably got rid of it, but I send you the list of changes the
trojan did on my test computer. It copied itself to the files
C:\Windows\msswap.exe
C:\Windows\none.exe
C:\Windows\run.exe
C:\Windows\System\rundll.exe
C:\Windows\System\svchost.exe
C:\Windows\All Users\Start Menu\Programs\StartUp\winstart.exe
C:\Windows\Start Menu\Programs\StartUp\winstart.exe
released the data file C:\Windows\System\cdllctrl.sys (ça j'avais pas noté)
and made changes in the ini files(Sous windows 98, non modifié sous XP -> Registre à la place)
system.ini: shell=Explorer.exe Run.exe
(the run.exe is reference to the virus file)
win.ini: run=None (c'est vraiment bien discret)
(the None is reference to the virus file)
and the changes in the registry you mentioned. (My test computer runs
Windows 98, so the system/system32 folders and changes in the ini file
might differ of the yours).
Vérification rapide ?
Allez dans C:\windows\system
Affichez le détail
triez sur la taille
Cherchez un fichier de 400ko
Exécutable ? Pèse exactement en octets 408 730 (taille fichier, pas sur le disque
)
Oui ?
Vérifiez votre menu démarrer / Programme / Démarrage
Il y a winstart.exe ?
Oui
Bienvenue au club !
APPEL A TEMOIN
Si vous avez été victime de ce troyen, faites-moi un signe car j'ai l'impression d'être seul au monde... si tel est le cas, troyen ciblé ???? mais qui ?
[/b]-
fdejaigher - Matelot
- Messages: 6
- Inscrit le: 15 Avr 2004 20:33
par gen3xp » 18 Avr 2004 22:27
Salut !
Moi aussi j'ai été infecté sous XP PRO ! par différent virus loger dans des fichiers portant des noms suivant:
svchost.exe => situé dans un autre repertoire que la normale.
ntoskrnl.exe => celui ci cherche à aller sur le net, de plus j'ai des tentatives de connection à ce fichier! j'ai pas trouvé d'info à ce sujet.
Pour le moment mes protections, c'est sygate et l'antivirus en ligne SECUSER http://www.secuser.com/antivirus/index.htm!
Avec cela je m'en sort!
A+
Moi aussi j'ai été infecté sous XP PRO ! par différent virus loger dans des fichiers portant des noms suivant:
svchost.exe => situé dans un autre repertoire que la normale.
ntoskrnl.exe => celui ci cherche à aller sur le net, de plus j'ai des tentatives de connection à ce fichier! j'ai pas trouvé d'info à ce sujet.
Pour le moment mes protections, c'est sygate et l'antivirus en ligne SECUSER http://www.secuser.com/antivirus/index.htm!
Avec cela je m'en sort!
A+
- gen3xp
- Quartier Maître
- Messages: 14
- Inscrit le: 18 Avr 2004 21:43
- Localisation: montpellier
9 messages
• Page 1 sur 1
Retour vers Virus et Anti-virus
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)