C:\Autoexec.bat
Is the troyan horse
TR/VB.BG
c’est un trojan
Effets secondaires:
Il crée des fichiers
Il diminue les réglages de sécurité
Il modifie des registres
Fichiers Il s’autocopie dans les emplacements suivants:
C:\mig2.exe
%WINDIR%\mig2.exe
%SYSDIR%\shell.exe
%SYSDIR%\MrHelloween.scr
%SYSDIR%\IExplorer.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
%home%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
%home%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
%home%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
%home%\Local Settings\Application Data\WINDOWS\LSASS.EXE
%home%\Local Settings\Application Data\WINDOWS\SMSS.EXE
\Data %le nom d’utilisateur courant%.exe
%repertoire actuel%%nom de liste actuelle%.exe
\mig2\New Folder.exe
Il crée le répertoire suivant:
\mig2
Les fichiers suivants sont créés:
? C:\Untukmu.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
Untukmu
Apa yang aku lakukan tak akan kau rasakan
Apa yang kau lakukan tak akan aku rasakan
Benar-benar jauh, jarak kita
Aku terpaksa,lakukan ini krana kau yang mengawali..
Senyummu adalah sedihku
Sedihmu adalah tawaku
Tangisku bukan milikmu
Tangismu adalah milikku
masih ada lagi yang ku kejar saat ini
saat,ini aku akan mulai mengejar yang lain
Lepaskan Dendam dan tawaku saat ini
JUST, 4u MIG - MIG
? %WINDIR%\msvbvm60.dll
? %SYSDIR%\msvbvm60.dll
? \mig2\Folder.htt
? \desktop.ini
Registre Les clés de registre suivantes sont ajoutées afin d’exécuter des processus après le redémarrage:
? [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Logon%le nom d’utilisateur courant%”="%home%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
“System Monitoring”="%home%\Local Settings\Application Data\WINDOWS\LSASS.EXE"
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“mig2”="%WINDIR%\mig2.exe"
“Service%le nom d’utilisateur courant%”="%home%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
“MSMSGS”="%home%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
Les clés de registre suivantes sont changées:
? [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
L’ancienne valeur:
“Shell”=“Explorer.exe”
“Userinit”="%SYSDIR%\userinit.exe"
La nouvelle valeur:
“Shell”=“Explorer.exe “%SYSDIR%\IExplorer.exe””
“Userinit”="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"
? [HKCR\exefile]
L’ancienne valeur:
@=“Application”
La nouvelle valeur:
@=“File Folder”
? [HKCR\exefile\shell\open\command]
L’ancienne valeur:
@=""%1" %"
La nouvelle valeur:
@="%SYSDIR%\shell.exe" “%1” %"
? [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
L’ancienne valeur:
“Auto”=“1”
“Debugger”=“drwtsn32 -p %ld -e %ld -g”
La nouvelle valeur:
“Auto”=“1”
“Debugger”="%SYSDIR%\Shell.exe"
Différents réglages pour Explorer:
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
L’ancienne valeur:
“Hidden”=%réglages définis par l’utilisateur%
“HideFileExt”=%réglages définis par l’utilisateur%
“ShowSuperHidden”=%réglages définis par l’utilisateur%
La nouvelle valeur:
“Hidden”=dword:00000000
“HideFileExt”=dword:00000001
“ShowSuperHidden”=dword:00000000
? [HKCU\Control Panel\Desktop]
L’ancienne valeur:
“ScreenSaverIsSecure”=“1”
“SCRNSAVE.EXE”=%réglages définis par l’utilisateur%
La nouvelle valeur:
“ScreenSaverIsSecure”=“0”
“SCRNSAVE.EXE”="%SYSDIR%\MRHELL~1.SCR"
? [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
L’ancienne valeur:
“AlternateShell”=“cmd.exe”
La nouvelle valeur:
“AlternateShell”="%WINDIR%\mig2.exe"
? [HKCR\lnkfile\shell\open\command]
L’ancienne valeur:
@=" “%1” %"
La nouvelle valeur:
@=" “%SYSDIR%\shell.exe” “%1” %"
? [HKCR\piffile\shell\open\command]
L’ancienne valeur:
@=""%1" %"
La nouvelle valeur:
@="%SYSDIR%\shell.exe" “%1” %"
? [HKCR\batfile\shell\open\command]
L’ancienne valeur:
@=""%1" %"
La nouvelle valeur:
@="%SYSDIR%\shell.exe" “%1” %"
? [HKCR\comfile\shell\open\command]
L’ancienne valeur:
@=""%1" %"
La nouvelle valeur:
@="%SYSDIR%\shell.exe" “%1” %"
Il désactive le Gestionnaire des tâches et l’éditeur de la base de registres
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
L’ancienne valeur:
“DisableCMD”=%réglages définis par l’utilisateur%
“DisableTaskMgr”=%réglages définis par l’utilisateur%
“DisableRegistryTools”=%réglages définis par l’utilisateur%
La nouvelle valeur:
“DisableCMD”=dword:00000001
“DisableTaskMgr”=dword:00000001
“DisableRegistryTools”=dword:00000001
Différents réglages pour Explorer:
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
L’ancienne valeur:
“NoFolderOptions”=%réglages définis par l’utilisateur%
La nouvelle valeur:
“NoFolderOptions”=dword:00000001
? [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
L’ancienne valeur:
“DisableConfig”=%réglages définis par l’utilisateur%
“DisableSR”=%réglages définis par l’utilisateur%
La nouvelle valeur:
“DisableConfig”=dword:00000001
“DisableSR”=dword:00000001
? [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
La nouvelle valeur:
“LimitSystemRestoreCheckpointing”=dword:00000001
“DisableMSI”=dword:00000001
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
CabinetState]
La nouvelle valeur:
“FullPathAddress”=dword:00000001
Arrêt de processus: La liste des processus qui sont terminés:
regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe
Les processus avec une des chaînes de caractères suivantes sont terminés:
ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
KASPERSKY; VAKSIN; ANTI; VIRUS
Les processus contenant un des titres de fenêtre suivants sont arrêtés:
RegEdit_RegEdit
Registry Editor
Folder Options
Local Settings
Le service suivant est désactivé:
System Restore
Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.
house call peut le résoudre normalement : housecall65.trendmicro.com… mais si pas internet, il faut quand même télécharger envoyé sur le pc infecté/installer un antivirus ( antivir, kaspersky nottament )
Edité le 05/02/2008 à 14:24
Alors la, très bonne réponse de Maccoy… 
Bref, j’ajouterai : tu peux telecharger un anti-virus, qui bien que payant, ait une période de gratuité…
(Genre Avast (mais je recommande pas), Kaspesky…).
Pour ce faire, va chez un proche qui a internet, télécharge-le, enregistre le sur une clé USB, et execute le sur ton PC !
Ensuite fais un scan approfondi, et mets en quarantain tout ce qu’il trouve…
Au bout de 30 jours il te faudra le désinstaller, mais au moins ton virus sera loin 
Moi je trouve ça un peu bete de pas avoir internet et d’avoir un virus : tu n’as que les mauvais coter d’internet 
PS : télécharge plutot kaspersky, il est vraiment bien contre les trojan (il en trouve toujours sur mon ordi ^^)
Bye !