Virus tueur de MP3

Antivirus, Firewall, failles, mises à jour critiques ...
Scanner Windows pour détecter les erreurs de registre

Ce que nous vous conseillons :

1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs.

2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons
    fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.



Messagepar jeanpascal » 08 Jan 2008, 19:20

Bonjour à tous.

Je cherche des informations sur un virus qui s'est répandu sur mon réseau domestique,
et pas seulement chez moi.

Voici mes observations aussitôt aprés un "attaque":

- Disparition complète des MP3 sur mes ordis en réseau, ainsi que sur les clefs USB et autres baladeurs.
- Désactivation du Gestionnaire des tâches.
- Regedit impossible, une boîte de dialogue me dit: "il a été désactivé par votre administrateur"
et cerise sur le gâteau, dans les propriétés sytème jai:

Utilisateur enregistré:

poison mp3
01 avril 2007
Image

Avast ne me detecte rien
Kapersky me detecte un virus qui n'a rien a voir avec mes observations.

Aprés un nettoyage avec ad-aware ou autre, le programe me suprime 3 "trucs".
Aprés reboot, j'ai la main sur le gestionnaire des tâches et sur regedit, mais je n'ai plus accés à mon disque dur. Image (Et je n'ai evidemment pas récupéré MES mp3. Image Image Image )

Windows me propose d'ouvrir C: avec une liste de programe. Image

Ca fait deux jours que je cherche...et je n'ai pas trouvé quelque chose de probant sur le net. Image

Si vous avez des infos sur cette zutte, qui semble jouer avec les anti-virus. Image

J-P
jeanpascal
 

Messagepar JoShuA » 08 Jan 2008, 19:45

Bonjour

Cela ressemble fortement à Nopir
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar jeanpascal » 08 Jan 2008, 22:39

Je le note pour des recherches apronfondies.
Merci.

En l'état actuel de mes recherches, le ver bidouille SVCHOST ( tâche qui n'est plus dans son répertoire system32 ) et la base de registre. ( merci spybot et hijackthis )

Sur un de mes pc sacrifié, j'ai constaté l'infection en direct ( allerte de modification de la BDR ) en introduisant une clef USB (infestée, maintenant j'en suis sûr), que j'utilise pour mon travail et qui n'a jamais contenue de mp3 Image
Le probléme, c'est qu'avec XP, les pilotes s'auto-chargent, et le vers avec, avant toutes tentatives d'analyses de la clef.

Le remède brutal: formater les clefs USB avant utilisation.

J'ai récupéré une grosse partie de mes mp3 avec un utilitaire, ( si non, j'ai prés de 200 CD à réinstaler et a classerImage ), et je les ai tout de suite archivés en .zip. Image

J-P
jeanpascal
 

Messagepar jeanpascal » 08 Jan 2008, 22:50

C'est pas NOPIR.

Chez moi la mule est éradiquée à la naissance. ( je contrôle tous mes ports ) Image

Quand au boulot, c'est pire... Image

J-P
jeanpascal
 

Messagepar JoShuA » 09 Jan 2008, 06:44

Dans ce cas, ça doit être W32.Deletemusic (WORM_DELF) où l'une de ces variantes qui semble correspondre exactement aux symptômes évoqués.
Avatar de l’utilisateur
JoShuA
Modérateur
 
Messages: 7246
Inscrit le: 02 Jan 2002, 15:37
Localisation: IdF

Messagepar jeanpascal » 09 Jan 2008, 12:32

C'est probablement une variante, car logon.bat n'est pas apparu dans le log hijackthis.

Par contre Gros problèmes avec les fichiers autorun.

Le collègue de l'informatique à activé les fichiers cachés, à mis ma clef infectée, et m'a montré les deux fichiers coupables ( un autorun, et un autre dont je ne me souvient plus ).

Un coup de del en mode console, et au revoir le ver... Image

Pour le PC j'ai trouvé un script ( à enregistrer en .bat )

@echo on
taskkill /im explorer.exe /f
taskkill /im wscrïpt.exe
start reg add HKCUSOFTWAREMicrosoftWindowsCurrentVersionEXplorerAdvanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:autorun.* /f /q /as
del %SYSTEMROOT%system32autorun.* /f /q /as
del d:autorun.* /f /q /as
del e:autorun.* /f /q /as
del f:autorun.* /f /q /as
del g:autorun.* /f /q /as
del h:autorun.* /f /q /as
del i:autorun.* /f /q /as
del j:autorun.* /f /q /as
del k:autorun.* /f /q /as
del l:autorun.* /f /q /as
start explorer.exe

Qui a fonctionné nickel.
Je n'ai pas retrouvé le lien, mais je remerci l'auteur Image

( je sens que je vais ressortir mon vieux manuel dos Image )

Pour l'incrustation " poison mp3 " , un regedit, un recher "poison". Suprimer les valeurs et la date, et mettez ce que vous voulez. Refaire la recherche jusqu'a épuisement du stock...

Le dernier spybot ( version 1.5 ) est top moumoute Image en plus il vous indique toutes les tentatives d'accès à la BDR. A vous d'accepter ou pas..
Problème résolu.

J-P
Dernière édition par jeanpascal le 09 Jan 2008, 12:38, édité 1 fois au total.
jeanpascal
 


Retour vers La Sécurité Informatique

Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

  •  Liens commerciaux