J'ai 1 virus:TR/VB.BG cmt le tuer en offline car pas d'internet

C:\Autoexec.bat
Is the troyan horse
TR/VB.BG

c’est un trojan

Effets secondaires:
• Il crée des fichiers
• Il diminue les réglages de sécurité
• Il modifie des registres

Fichiers Il s’autocopie dans les emplacements suivants:
• C:\mig2.exe
• %WINDIR%\mig2.exe
• %SYSDIR%\shell.exe
• %SYSDIR%\MrHelloween.scr
• %SYSDIR%\IExplorer.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
• %home%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
• %home%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
• %home%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
• %home%\Local Settings\Application Data\WINDOWS\LSASS.EXE
• %home%\Local Settings\Application Data\WINDOWS\SMSS.EXE
• \Data %le nom d’utilisateur courant%.exe
• %repertoire actuel%%nom de liste actuelle%.exe
• \mig2\New Folder.exe

Il crée le répertoire suivant:
• \mig2

Les fichiers suivants sont créés:

? C:\Untukmu.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
• Untukmu

 Apa yang aku lakukan tak akan kau rasakan
 Apa yang kau lakukan tak akan aku rasakan
 Benar-benar jauh, jarak kita
 Aku terpaksa,lakukan ini krana kau yang mengawali..
 
 Senyummu adalah sedihku
 Sedihmu adalah tawaku
 
 Tangisku bukan milikmu
 Tangismu adalah milikku
 
 masih ada lagi yang ku kejar saat ini
 saat,ini aku akan mulai mengejar yang lain
 Lepaskan Dendam dan tawaku saat ini
 JUST, 4u MIG - MIG

? %WINDIR%\msvbvm60.dll
? %SYSDIR%\msvbvm60.dll
? \mig2\Folder.htt
? \desktop.ini
Registre Les clés de registre suivantes sont ajoutées afin d’exécuter des processus après le redémarrage:

? [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “Logon%le nom d’utilisateur courant%”="%home%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
• “System Monitoring”="%home%\Local Settings\Application Data\WINDOWS\LSASS.EXE"

? [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• “mig2”="%WINDIR%\mig2.exe"
• “Service%le nom d’utilisateur courant%”="%home%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
• “MSMSGS”="%home%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

Les clés de registre suivantes sont changées:

? [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
L’ancienne valeur:
• “Shell”=“Explorer.exe”
• “Userinit”="%SYSDIR%\userinit.exe"
La nouvelle valeur:
• “Shell”=“Explorer.exe “%SYSDIR%\IExplorer.exe””
• “Userinit”="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

? [HKCR\exefile]
L’ancienne valeur:
• @=“Application”
La nouvelle valeur:
• @=“File Folder”

? [HKCR\exefile\shell\open\command]
L’ancienne valeur:
• @=""%1" %"
La nouvelle valeur:
• @="%SYSDIR%\shell.exe" “%1” %
"

? [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
L’ancienne valeur:
• “Auto”=“1”
• “Debugger”=“drwtsn32 -p %ld -e %ld -g”
La nouvelle valeur:
• “Auto”=“1”
• “Debugger”="%SYSDIR%\Shell.exe"

Différents réglages pour Explorer:
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
L’ancienne valeur:
• “Hidden”=%réglages définis par l’utilisateur%
• “HideFileExt”=%réglages définis par l’utilisateur%
• “ShowSuperHidden”=%réglages définis par l’utilisateur%
La nouvelle valeur:
• “Hidden”=dword:00000000
• “HideFileExt”=dword:00000001
• “ShowSuperHidden”=dword:00000000

? [HKCU\Control Panel\Desktop]
L’ancienne valeur:
• “ScreenSaverIsSecure”=“1”
• “SCRNSAVE.EXE”=%réglages définis par l’utilisateur%
La nouvelle valeur:
• “ScreenSaverIsSecure”=“0”
• “SCRNSAVE.EXE”="%SYSDIR%\MRHELL~1.SCR"

? [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
L’ancienne valeur:
• “AlternateShell”=“cmd.exe”
La nouvelle valeur:
• “AlternateShell”="%WINDIR%\mig2.exe"

? [HKCR\lnkfile\shell\open\command]
L’ancienne valeur:
• @=" “%1” %"
La nouvelle valeur:
• @=" “%SYSDIR%\shell.exe” “%1” %
"

? [HKCR\piffile\shell\open\command]
L’ancienne valeur:
• @=""%1" %"
La nouvelle valeur:
• @="%SYSDIR%\shell.exe" “%1” %
"

? [HKCR\batfile\shell\open\command]
L’ancienne valeur:
• @=""%1" %"
La nouvelle valeur:
• @="%SYSDIR%\shell.exe" “%1” %
"

? [HKCR\comfile\shell\open\command]
L’ancienne valeur:
• @=""%1" %"
La nouvelle valeur:
• @="%SYSDIR%\shell.exe" “%1” %
"

Il désactive le Gestionnaire des tâches et l’éditeur de la base de registres
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
L’ancienne valeur:
• “DisableCMD”=%réglages définis par l’utilisateur%
• “DisableTaskMgr”=%réglages définis par l’utilisateur%
• “DisableRegistryTools”=%réglages définis par l’utilisateur%
La nouvelle valeur:
• “DisableCMD”=dword:00000001
• “DisableTaskMgr”=dword:00000001
• “DisableRegistryTools”=dword:00000001

Différents réglages pour Explorer:
? [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
L’ancienne valeur:
• “NoFolderOptions”=%réglages définis par l’utilisateur%
La nouvelle valeur:
• “NoFolderOptions”=dword:00000001

? [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
L’ancienne valeur:
• “DisableConfig”=%réglages définis par l’utilisateur%
• “DisableSR”=%réglages définis par l’utilisateur%
La nouvelle valeur:
• “DisableConfig”=dword:00000001
• “DisableSR”=dword:00000001

? [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
La nouvelle valeur:
• “LimitSystemRestoreCheckpointing”=dword:00000001
• “DisableMSI”=dword:00000001

? [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
CabinetState]
La nouvelle valeur:
• “FullPathAddress”=dword:00000001

Arrêt de processus: La liste des processus qui sont terminés:
• regedit.exe; AVP.exe; rtvscan.exe; NAV.exe; VSHWIN32.exe;
ProcessManager.exe; RegistryEditor.exe; Msiexec.exe; avgemc.exe;
nvcoas.exe; mcvsescn.exe; firefox.exe; TASKMGR.EXE; setup.exe;
Opera.exe; avguad.exe.; avgnt.exe; killvb.exe; Msi.exe

Les processus avec une des chaînes de caractères suivantes sont terminés:
• ANT; BRO; VIR; TASK; REG; ASM; DBG; W32; BUG; HEX; DETEC; PROC; WALK;
REST; AVS; OPTIONS; AVG; SYMANTEC; PANDA; MCAFEE; PC-CILLIN; F-PROT;
KASPERSKY; VAKSIN; ANTI; VIRUS

Les processus contenant un des titres de fenêtre suivants sont arrêtés:
• RegEdit_RegEdit
• Registry Editor
• Folder Options
• Local Settings

Le service suivant est désactivé:
• System Restore

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

house call peut le résoudre normalement : housecall65.trendmicro.com… mais si pas internet, il faut quand même télécharger envoyé sur le pc infecté/installer un antivirus ( antivir, kaspersky nottament )
Edité le 05/02/2008 à 14:24

Alors la, très bonne réponse de Maccoy… :clap:

Bref, j’ajouterai : tu peux telecharger un anti-virus, qui bien que payant, ait une période de gratuité…
(Genre Avast (mais je recommande pas), Kaspesky…).
Pour ce faire, va chez un proche qui a internet, télécharge-le, enregistre le sur une clé USB, et execute le sur ton PC !
Ensuite fais un scan approfondi, et mets en quarantain tout ce qu’il trouve…
Au bout de 30 jours il te faudra le désinstaller, mais au moins ton virus sera loin :slight_smile:

Moi je trouve ça un peu bete de pas avoir internet et d’avoir un virus : tu n’as que les mauvais coter d’internet :stuck_out_tongue:

PS : télécharge plutot kaspersky, il est vraiment bien contre les trojan (il en trouve toujours sur mon ordi ^^)

Bye !