virus Trojan JS seeker based

05/08-2002 à 01:47Bsoir
Malgré ZA dernière version free, en surfant, j'ai DL le Trojan JS seeker based.

L'AV Kasperky m'a averti immédiatement. Le scan a montré 2 fichiers infectés:
C\windows\temp\internet IE5\content.IE5 \OD23 GT6J\JS[1]JS
C\windows\temp\script_0082157C.HTML

Kasperky a désinfecté et le panneau d'alerte a disparu.
J'ai vérifié par l'option "recherche" qu'il n'y avait plus aucun fichier .tmp

Ma question: il faut sans doute vérifier la BDR, pour éliminer toute trace de Trojan ?
mais dans quel secteur de la BDR chercher ?
key classes root / current user / local machine / user... ...?
Merci

05/08-2002 à 05:15normalement, si ton antivirus a bien fait son boulot, tu n'as plus rien à craindre.
si tu veux plus de sûreté redémarre en mode dos, et tape :
del c:\windows\temp\*.*
confirme.
Redémarre.
(mais normalement, ton dossier windows\temp est vidé automatiquement à la fermeture de windows)

tu peux aussi en profiter pour rajouter la ligne indiquée plus haut dans l'autoexec.bat.
Seul handicap : en cas de plantage, tu ne pourras plus récupérer les fichiers temporaires créés et qui contiennent souvent les données non enregistrées avant ledit plantage. A toi de choisir.

05/08-2002 à 10:53Merci Johannis

Je garde sous le coude ton idée.

Mais je vire systématiquement et manuellement, au début en fin de session ,mes cookie et mes fichiers temporaires.

J'ai utilisé la fonction recherche de la BDR pour retrouver trace de mon virus Trojan et apparemment, aucune key n'a été modifiée.

Temps superbe ce matin, je vais aller casser une croûte dans le Breaujolais.

05/08-2002 à 14:52Pas tout à fait OK : je ne sais pas sous 98, mais sous XP et même en vidant les temporaires par la commande standard, tout n'est pas détruit (voir la taille du dossier). Essaies de repasser KAV sur les "temporary files", et utilises XCleaner pour TOUT virer : j'ai fait des essais, et sous XP certains fichiers sont tout à fait invisibles..on ne les repère que par la taille du dossier.

05/08-2002 à 17:43il semblerait que cette saleté(variante de Seeker, et écrit en javascript) qu'on attrappe par le navigateur en ouvrant une page web piégée, soit plus vicieux qu'on ne pense, vérifie un peu ta base de registre, voir s'il n'y a pas eu de modifications www.vsantivirus.com/seeker-w.htm [°)]

05/08-2002 à 17:45www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=JS_EXCEPTION.GEN on n'arrête pas [°)]

05/08-2002 à 21:28Merci à Xénon et à Grolou

Essaies de repasser KAV sur les "temporary files",

j'ai retrouvé dans Temp. Internet / IE /content / IE5 / le fichier OD23 GT6J débarrassé de [B]JS[1]JS[/B].
Passé Kaspesrky AV sur la totalité de mes Temp.Internet
(qui sont d'ailleurs des fichiers vides 0 ko). Tout s'est bien passé.


Ouvert BDR: Current user / software / µsoft / IE / main / page de droite: startpage.
double clic sur startpage = réponse: "about blank".
Ce qui correspond à mon affichage-URL habituelle de IE.

Hésité (comme conseillé dans w3.vsantivirus.comm/seeker et w3.trend micro.com) à:
- "type the URL of your favorite Webpage in the Value data test box".
- fermer la BDR.
- scanner mon PC avec Trend µ Antivirus.

05/08-2002 à 21:35Excellent conseil : ça me paraît tellement évident de passer l'antivirus en ligne de secuser que je l'avais oublié. Mais si tu as KAV... [°)]

05/08-2002 à 21:50 te voilà tranquille maintenant