Jump to content

Archived

This topic is now archived and is closed to further replies.

Mephisto

[LOGICIEL] 'resycled' et boot.com

Recommended Posts

Bonjour

petite question:

infection par un installeur de codecs (je sais, ca sentait mauvais d'entre de jeux, j'ai quand meme tente ma chance)

j'ai maintenant un dossier cache 'resycled' qui s'installe a la racine de tous mes disques locaux, contenant un binaire boot.com (30K), cache lui aussi.

a la base, regulierement, spoolsv.exe se mettait a saturer ma RAM, puis mon CPU, et me coupait toutes les connexions reseau (message d'erreurs d'autres applis reseau, arrivant tous simultanement, c'etait plutot violent :transpi: )

bon, j'ai desactive le service spooleur d'impression, et depuis, le virus ne me pose plus de problemes (du moins, je ne les vois pas)

pas de connexions (de toute facon, a l'installation, j'avais cree une regle pour empecher le bordel de passer le firewall, et apparemment, ca fonctionne)

scan du registre a la recherche d'un "resycled" (dans le doute):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c3ffc479-6c71-11dd-a30c-001a4d5352f5}\Shell\AutoRun\command (C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com g:)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c3ffc479-6c71-11dd-a30c-001a4d5352f5}\Shell\Open\command (G:\resycled\boot.com g:)

j'ai six autres occurences, correspondant a mes trois autres disques. j'ai tout vire.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache (C:\resycled\boot.com -> boot), vire egalement

hijackthis ne me trouve rien de special (enfin, je peux post un log dans le doute).

m'etant remis sous windows depuis peu, mes references sont sans doutes depasses. mais j'ai une entiere confiance en snooky :transpi:

Je ne suis pas certain d'avoir tout vire.

Le comportement du PC est completement normal, excepte ces dossiers 'resycled' (mais je ne suis pas sur qu'ils reviendront pour autant)

Voilou, si ca vous est deja arrive .... un avis supplementaire est toujours bon a prendre.

Merci !

Share this post


Link to post
Share on other sites

MBAM:

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1479

Windows 5.1.2600 Service Pack 2

10/12/2008 01:33:55

mbam-log-2008-12-10 (01-33-55).txt

Type de recherche: Examen complet (C:\|E:\|G:\|V:\|)

Eléments examinés: 89036

Temps écoulé: 31 minute(s), 16 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

La suite demain.

Merci !

nb: homeview est bien le truc que j'avais installe

Share this post


Link to post
Share on other sites

×
×
  • Create New...