ericc is dreaming

J'avais déjà regardé hier à 1h du mat' mais j"avais pas le temps de répondre

1 ce truc se diffuse "largement" par P2P et chat MSN. Et va, une fois le pc infecté, polluer les proches par les échanges de disques amovibles (clés usb, cartes sd, etc...)
Ou tu l'as choppé toi-même par MSN ou emule,... Ou c'est quelqu'un d'autre a qui c'est arrivé qui t'as, après, preter un clé ou une carte sd

2 regarde chez symentec ( ) tu devrait etre sur l'onglet "TECHNICAL DETAILS"

When executed, the worm copies itself as the following file:
%SystemDrive%\RECYCLER\[SID]\sysdate.exe

Ricco? C'est pas un dossier caché ça?

It also creates the following file:
%SystemDrive%\RECYCLER\[SID]\Desktop.ini

Ici je suis sur que c'est un fichier caché. Faut les rendre visibles avec l' "options des dossiers"

Note: [SID] is a Security Identifier (SID) similar to the following example:
S-1-5-21-0741203276-5174745523-898393899-9038

Bon ici tu as sans doute compris que le [SID] de l'exemple est en réalité une suite de caractère comme montré ci dessus

It then creates the following registry entry so that it runs every time Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Taskman" = "%SystemDrive%\RECYCLER\[SID]\sysdate.exe"

création d'une clé de registre pour faire démarrer le processus a chaque allumage de Win.

Bref 2 fichiers créés et un ordre de démarrer le processus voir de restaurer les fichiers si tu les a virés.
Dès que t'insère une clé usb: Paf! ton pc y écrit un fichier avec autorun qui polluera le prochain PC.

%DriveLetter%\Resources\sEtuP64.exe
%DriveLetter%\autorun.inf

*Pour Symentec (si t'as Norton)
Désactiver la "Restauration Système"
Démarrer en mode sans échec
Mettre a jour les définitions virales de Norton
Scanner tous les fichiers et tous les disques
Virer les merdes trouvées.

*Moi j'essayerais à la barbare :
-Dans option des dossiers, onglet affichage;
1-cliquers sur "Afficher les fichiers,... cachés"
2-décocher "Masquer les fichiers protégés..."
3-appliquer et ok
-Désactiver la "Restauration Système"
-Démarrer en mode sans échec
-Deleter "%SystemDrive%\RECYCLER\[SID]\sysdate.exe" et "%SystemDrive%\RECYCLER\[SID]\Desktop.ini"


Redémarrer l'ordi Possible qu'il y ai des avertissements juste après le démarrage
Genre:

Title: [FI LE PATH]
Message body: Windows cannot find [FIL E NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

c'est la clé de registre qu'a plus ses fichiers.

Et pour virer cette clé de registre (après manip Symentec ou manip à la barbare)
1 démarrer > exécuter
2 tape regedit puis clique ok

Ouvre les arborescence comme ça

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Taskman"

La vire la clé nommée

"%SystemDrive%\RECYCLER\[SID]\sysdate.exe"

Rappel: [SID] est un truc genre: S-1-5-21-0741203276-5174745523-898393899-9038

Sauf que je ne vois pas cette clé.

Par contre le processus est bien celui ci à chaque média amovible création d'un autorun de daube

Je sors de 4 heures de test, la new version de avast free ne détecte pas mieux le worm pas glop.

J'ai tester mes 2 PC perso avec 3 antivirus on line différent et c'est clean et c'est déjà pas mal.

Pour le PC pro je crois que ca va se finir par une remasterisation c'est bien la première fois que je chope une saloperie comme cela et pourtant j'ai pas fait pire au niveau installe de soft MSN P2P et autre.

Je regarderais tranquille pendant les vacances.