quelques techniques pour reperer certaines infections :)

Voir le sujet précédent Voir le sujet suivant Aller en bas

quelques techniques pour reperer certaines infections :)

Message par gen-hackman le Lun 28 Juin - 1:40

Voici un petit récapitulatif sur les infections que je vois souvent.



Message "application win32 non valide ..."
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
---> Infection Bagle.
---> FindyKill.



Spyware Secure, Montorgueil, MailSkinner, MessengerSkinner, lignes 04 HijackThis avec les mots qui se répètent à la fin du genre :
O4 - HKCU\..\Run: [jtvijfh] c:\documents and settings\cedric\local settings\application data\jtvijfh.exe jtvijfh
O4 - HKCU\..\Run: [eauiuge] c:\users\alexandra\appdata\local\eauiuge.exe eauiuge
---> Infection Magic.Control / egdaccess / NaviPromo
---> Navilog1.




Bitdownload, pubs CID qui s'affichent, lignes 04 HijackThis de ce genre :
O4 - HKLM\..\Run: [Compcakegramburn] C:\Documents and Settings\All Users\Application Data\tonsmailcompcake\Meet Inside.exe
O4 - HKCU\..\Run: [proxy ooze] C:\DOCUME~1\HP_PRO~1\APPLIC~1\plusmove\math byte poke.exe
O4 - HKLM\..\Run: [Ford mpeg road draw] C:\Documents and Settings\All Users\Application Data\way rdr ford mpeg\Face Remote.exe

Sous Vista, Lop peut se manifester sous les formes suivantes :
O4 - HKLM\..\Run: [Save Dupe] "C:\ProgramData\sixth sect sect.ilrjji7"
O4 - HKLM\..\Run: [LESS CITY AMEN SETUP] "C:\ProgramData\Sixth Body Help.z6rat"
---> Infection lop.com/swizzor.
---> Lop S&D.



O4 - HKLM\..\Run: [BMdb113164] Rundll32.exe "C:\WINDOWS\System32\rjeupuxw.dll",s
O4 - HKLM\..\Run: [d82202f8] rundll32.exe "C:\WINDOWS\System32\vlwmlmap.dll",b
O4 - HKLM\..\Run: [273d135e] rundll32.exe "C:\WINDOWS\System32\bwooqlgj.dll",b
---> Infection Vundo/Virtumonde.
---> MBAM, ComboFix (Demande l'autorisation).



MyWebSearch, AskBar, SearchSettings :
02 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
04 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
---> Toolbar S&D.


EoEngine, EoRezo, SweetIM, Boonty Games :
---> AD-Remover.



Fichier amvo/tavo/kavo, mountpoint2 infectés :
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{45c8f018-ba35-11dd-8735-0013d4657412}]
shell\Auto\command - D:\AdobeR.exe e
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

---> UsbFix.
avatar
gen-hackman

Messages : 93
Date d'inscription : 24/06/2010
Age : 46
Localisation : Bouches du rhône

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum