Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Troj/WShack (Sophos) et redirections recherche Google

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Site Admin
Site Admin
Messages : 102592
Inscription : 10 sept. 2005 13:57
Contact :

Troj/WShack (Sophos) et redirections recherche Google

Message par Malekal_morte »

Source : http://miekiemoes.blogspot.com/2009/06/ ... ld-be.html

Après Trojan.Daonol/Gumblar qui a fait des ravages, une autre infection provoque des redirections lors des recherches Google.

L'infection patche (modifie) un fichier système WS2_32.dll.

Sophos détecte le fichier sous le nom Troj/WShack ou de manière plus générique sous les noms Trojan.Win32.Patched.xxx / Win32.Patched.xxx)

NOTE : la détection génériques patched peut porter sur d'autres fichiers systèmes autres que WS2_32.dll.

GMER peut aussi montrer le patch de la manière suivante lors d'un scan :
.text C:\WINDOWS\Explorer.EXE[600] C:\WINDOWS\system32\WS2_32.dll section is writeable [0x71AB1000, 0x12153, 0xE0000040]
.data C:\WINDOWS\Explorer.EXE[600] C:\WINDOWS\system32\WS2_32.dll entry point in ".data" section [0x71AC41A1]
.text C:\WINDOWS\system32\winlogon.exe[752] C:\WINDOWS\system32\WS2_32.dll section is writeable [0x71AB1000, 0x12153, 0xE0000040]
.data C:\WINDOWS\system32\winlogon.exe[752] C:\WINDOWS\system32\WS2_32.dll entry point in ".data" section [0x71AC41A1]
.text C:\WINDOWS\system32\services.exe[796] C:\WINDOWS\system32\WS2_32.dll section is writeable [0x71AB1000, 0x12153, 0xE0000040]
.data C:\WINDOWS\system32\services.exe[796] C:\WINDOWS\system32\WS2_32.dll entry point in ".data" section [0x71AC41A1]
Mettre le fichier en quarantaine est une mauvaise idée, vous pouvez tenter de restaurer le fichier via la commande sfc :
Menu Démarrer / exécuter puis : sfc /scannow (il y a un espace entre sfc et /scannow) puis OK.

Les fichiers DllCache et ServicePackFiles\i386 étant eux aussi patchés, les fichiers d'installation de Windows vous seront alors demandé (donc soit le CD, soit le répertoire sur votre disque dur).

Voir la page Malwares et patch/remplacement fichiers systèmes pour comprendre la problématique du patch de fichiers systèmes.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »