Kido.ih

Le
augustin
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de suite
pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih

Je n'ai pas trouvé sur Google d'explications très claires. Quelqu'un
pourrait-il m'indiquer s'il y a qque chose à faire ?

S.Exp. : Win XP Home SP2

Merci avec un amical salut.
--
A.FB
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Herser
Le #19457451
augustin wrote:
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de suite
pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih

Je n'ai pas trouvé sur Google d'explications très claires. Quelqu'un
pourrait-il m'indiquer s'il y a qque chose à faire ?

S.Exp. : Win XP Home SP2

Merci avec un amical salut.



Bonjour
Virus transmis par clé USB, il faudra y penser quand le PC sera désinfecté.
Pour le PC, télécharge HiJackThis (=HJT) avec le lien suivant :
http://www.zebulon.fr/dossiers/43-hijackthis.html
Voir "télécharger ici"
Tu installes, tu scannes et tu envoies le log sur :
http://www.cijoint.fr/index.php
Tu récupères le lien que tu nous donnes ici.
On verra ce qu'il y a sur ce PC

Herser
Herser
Le #19457881
augustin wrote:
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de suite
pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih

Je n'ai pas trouvé sur Google d'explications très claires. Quelqu'un
pourrait-il m'indiquer s'il y a qque chose à faire ?

S.Exp. : Win XP Home SP2

Merci avec un amical salut.



Complément :

STP d'abord faire le scan HiJackThis et envoyer le log sur Cijoint avec le
lien ici.

Ce virus (plus communément appelé Conficker) est décrit ici :
http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790#doc2

Kaspersky propose un outil de désinfection :
http://support.kaspersky.com/faq/?qid 8279973
Cliquer sur le lien suivant :
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
Télécharger ce fichier compressé
Le décompresser dans un fichier de son choix
Exécuter KK.exe et attendre la fin du scan.

Vérifier les clés USB et disques durs externes.
Rendre les fichiers cachés et système visibles.
Ne pas ouvrir ces supports mais faire clic droit / "explorer"
Supprimer les éventuels fichiers "autorun.inf"
Et supprimer dans "Recycler" les fichiers .vmx

Scanner tous les disques et supports externe savec ton antivirus à jour.

Faire les mises à jour de sécurité de Windows
Elles auraient suffi à éviter ce virus
En particulier la màj suivante :
http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=KB958644&DisplayLang=fr
Choisir le bon système d'exploitation.

Le virus peut encore être présent dans la restauration système.
Même si KAV en principe s'en occupe, il vaut mieux la désactiver puis la
réactiver
On repart ainsi sur un point propre

Herser
Jean Pierre
Le #19457961
Dans son message news:,
Herser
augustin wrote:
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de
suite pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih

Je n'ai pas trouvé sur Google d'explications très claires. Quelqu'un
pourrait-il m'indiquer s'il y a qque chose à faire ?

S.Exp. : Win XP Home SP2

Merci avec un amical salut.



Bonjour
Virus transmis par clé USB, il faudra y penser quand le PC sera
désinfecté. Pour le PC, télécharge HiJackThis (=HJT) avec le lien
suivant : http://www.zebulon.fr/dossiers/43-hijackthis.html
Voir "télécharger ici"
Tu installes, tu scannes et tu envoies le log sur :
http://www.cijoint.fr/index.php
Tu récupères le lien que tu nous donnes ici.
On verra ce qu'il y a sur ce PC

Herser



Bonsoir Herser et Augustin,

Je crois qu'il existe un programme pour désinstaller le worm Kido.

Je regarde et vous tiens au courant sinon le log HJT permet bien souvent
de voir des choses bine peu décelables sans celui ci.

A voir ci dessous :
http://www.commentcamarche.net/forum/affich-12337699-comment-suprimer-net-worm-win32-kido-ih


Amicalement.

Jean Pierre
Jean Pierre
Le #19457951
Dans son message news:,
Herser
augustin wrote:
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de
suite pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih

Je n'ai pas trouvé sur Google d'explications très claires. Quelqu'un
pourrait-il m'indiquer s'il y a qque chose à faire ?

S.Exp. : Win XP Home SP2

Merci avec un amical salut.



Complément :

STP d'abord faire le scan HiJackThis et envoyer le log sur Cijoint
avec le lien ici.

Ce virus (plus communément appelé Conficker) est décrit ici :
http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790#doc2

Kaspersky propose un outil de désinfection :
http://support.kaspersky.com/faq/?qid 8279973
Cliquer sur le lien suivant :
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
Télécharger ce fichier compressé
Le décompresser dans un fichier de son choix
Exécuter KK.exe et attendre la fin du scan.

Vérifier les clés USB et disques durs externes.
Rendre les fichiers cachés et système visibles.
Ne pas ouvrir ces supports mais faire clic droit / "explorer"
Supprimer les éventuels fichiers "autorun.inf"
Et supprimer dans "Recycler" les fichiers .vmx

Scanner tous les disques et supports externe savec ton antivirus à
jour.
Faire les mises à jour de sécurité de Windows
Elles auraient suffi à éviter ce virus
En particulier la màj suivante :
http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=KB958644&DisplayLang=fr
Choisir le bon système d'exploitation.

Le virus peut encore être présent dans la restauration système.
Même si KAV en principe s'en occupe, il vaut mieux la désactiver puis
la réactiver
On repart ainsi sur un point propre

Herser



Re Herser,

En complément de ton excellente réponse :
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe

Amicalement.

Jean Pierre
Herser
Le #19458221
Jean Pierre wrote:
Dans son message news:,
Herser
augustin wrote:
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de
suite pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih

Je n'ai pas trouvé sur Google d'explications très claires. Quelqu'un
pourrait-il m'indiquer s'il y a qque chose à faire ?

S.Exp. : Win XP Home SP2

Merci avec un amical salut.



Complément :

STP d'abord faire le scan HiJackThis et envoyer le log sur Cijoint
avec le lien ici.

Ce virus (plus communément appelé Conficker) est décrit ici :
http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790#doc2

Kaspersky propose un outil de désinfection :
http://support.kaspersky.com/faq/?qid 8279973
Cliquer sur le lien suivant :
http://data2.kaspersky.com:8080/special/KK_v3.4.7.zip
Télécharger ce fichier compressé
Le décompresser dans un fichier de son choix
Exécuter KK.exe et attendre la fin du scan.

Vérifier les clés USB et disques durs externes.
Rendre les fichiers cachés et système visibles.
Ne pas ouvrir ces supports mais faire clic droit / "explorer"
Supprimer les éventuels fichiers "autorun.inf"
Et supprimer dans "Recycler" les fichiers .vmx

Scanner tous les disques et supports externe savec ton antivirus à
jour.
Faire les mises à jour de sécurité de Windows
Elles auraient suffi à éviter ce virus
En particulier la màj suivante :
http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=KB958644&DisplayLang=fr
Choisir le bon système d'exploitation.

Le virus peut encore être présent dans la restauration système.
Même si KAV en principe s'en occupe, il vaut mieux la désactiver puis
la réactiver
On repart ainsi sur un point propre

Herser



Re Herser,

En complément de ton excellente réponse :
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDwndp.exe

Amicalement.

Jean Pierre



Bonsoir Jean Pierre
Vu pour l'outil Norton. Merci
Je pense que les différents AV doivent avoir leur nettoyeur.

Ce virus est un des + fréquents à ce jour, alors qu'il suffit de faire les
màj Windows.
Même les versions pirates de Windows autorisent ces mise à jour de sécurité.
On est loin du niveau minimal d'informations des internautes.
Les idées reçues en matière de sécurité ont la vie dure :
http://www.libellules.ch/idees_recues_securite.php

C'est quand même un virus innovant
http://www.sebsauvage.net/rhaa/index.php?2009/04/09/23/35/41-conficker-une-belle-saloperie

Herser
augustin
Le #19463151
augustin a écrit :
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de suite
pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih



***/

Merci à vous pour votre aide.

J'ai téléchargé : hijackthis.zip et ...KB956644-x86-FRA.exe et
KK_v3.4.7.zip ; comme vous l'avez suggéré.

Je me propose donc de : (Dans l'ordre)

- exécuter KK.exe sensé éradiquer le ver

- installer KB956644

-redémarrer...

-lancer hijackthis.exe pour analyser la situation nouvelle.

Est-ce correct ?

Encore merci. Amical salut.
--

Herser
Le #19464001
augustin wrote:
augustin a écrit :
Depuis qques jours KAV m'alerte tous les jours plusieurs fois de
suite pour me proposer la destruction et le blocage du ver :

NETWorm.Win32.Kido.ih



***/

Merci à vous pour votre aide.

J'ai téléchargé : hijackthis.zip et ...KB956644-x86-FRA.exe et
KK_v3.4.7.zip ; comme vous l'avez suggéré.

Je me propose donc de : (Dans l'ordre)

- exécuter KK.exe sensé éradiquer le ver

- installer KB956644

-redémarrer...

-lancer hijackthis.exe pour analyser la situation nouvelle.

Est-ce correct ?

Encore merci. Amical salut.



Re
Presque
Pour toi c'est bon
Mais on aimerait savoir ce que donne le log HJT avant nettoyage

Donc, si tu l'acceptes :
1- Scanne avec HJT et envoie le log sur CiJoint comme proposé.
N'oublie pas de nous envoyer le lien, pour qu'on puisse lire ce log

2- soit tu attends nos résultats d'analyse du log, soit tu passes de suite
KK.

3- après nettoyage (kK + ... suivant analyse du log), refaire un scan HJT de
vérification.

4- nettoyer les clés et disques externes USB, vecteurs de réinfection.

4- Si log HJT correct, désactiver la restauration système et réactiver
Cela évite la réinfection à partir de la restauration

5- Prévenir avec les màj de Microsoft (KB956644 et autres)

Nous tenir au courant des étapes et éventuelles difficultés

Herser
augustin
Le #19468541
Herser a écrit :

***/
Pour toi c'est bon
Mais on aimerait savoir ce que donne le log HJT avant nettoyage



Voici , est-ce que cela convient ? Sinon indique moi la manip...

Merci encore. A.FB

******************************/

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:09, on 02/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesSoundMAXSmax4.exe
C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe
C:WINDOWSsystem32WDBtnMgr.exe
E:Program FilesAdobeReader 8.0ReaderReader_sl.exe
C:Program FilesJavajre1.6.0binjusched.exe
F:CommonSWTrayV4.exe
C:Program FilesQuickTimeqttask.exe
E:Program filesKasperskyavp.exe
E:Program FilesSpybot - Search & DestroyTeaTimer.exe
E:Program filesKasperskyavp.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32wscntfy.exe
C:WINDOWSsystem32wuauclt.exe
C:DOCUME~1KellerLOCALS~1TempRépertoire temporaire 2 pour
HiJackThis.zipHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www.european.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} -
E:Program

filesGetRightxx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

E:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:Program

filesKasperskyievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program

FilesJavajre1.6.0binssv.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} -
C:Program

FilesAskTBarbar1.binASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} -
C:Program

FilesAskTBarbar1.binASKTBAR.DLL
O4 - HKLM..Run: [SoundMAX] "C:Program FilesAnalog
DevicesSoundMAXSmax4.exe" /tray
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog
DevicesSoundMAXSMax4PNP.exe
O4 - HKLM..Run: [UserFaultCheck] %systemroot%system32dumprep 0 -u
O4 - HKLM..Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "E:Program
FilesAdobeReader

8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program
FilesJavajre1.6.0binjusched.exe"
O4 - HKLM..Run: [SideWinderTrayV4] f:CommonSWTrayV4.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [AVP] "E:Program filesKasperskyavp.exe"
O4 - HKLM..Run: [ASUS Probe] e:asus-probeAsusProb.exe
O4 - HKCU..Run: [SpybotSD TeaTimer] E:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - HKCU..Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:Program

FilesFichiers communsNeroLibNMIndexStoreSvr.exe"

ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O8 - Extra context menu item: Download with GetRight - E:Program
filesGetRightGRdownload.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -

res://E:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:Program

filesGetRightGRbrowse.htm
O8 - Extra context menu item: Ouvrir avec GetRight - E:Program
FilesGetRightGRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - E:Program

FilesGetRightGRdownload.htm
O9 - Extra button: Statistiques de la protection du trafic Internet -

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:Program
filesKasperskySCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program

FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:Program FilesMessengermsmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.european.fr
O16 - DPF: {9386632C-00D9-440F-A448-E25BE16459B2} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0) -
O20 - AppInit_DLLs:

E:PROGRA~1KASPER~1mzvkbd.dll,E:PROGRA~1KASPER~1mzvkbd3.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:WINDOWSSystem32Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - E:Program
filesKasperskyavp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program

FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default))
- Analog Devices, Inc.

- C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

--
End of file - 5319 bytes
Herser
Le #19470371
augustin wrote:
Herser a écrit :

***/
Pour toi c'est bon
Mais on aimerait savoir ce que donne le log HJT avant nettoyage



Voici , est-ce que cela convient ? Sinon indique moi la manip...

Merci encore. A.FB

******************************/




Euh, c'est avant KK.exe ? ou après
Il n'y a pas de processus malveillant sur ce log

Si t n'as pas fait KK.exe, fais le

Le log HJT révèle quand même des faiblesses sécuritaires sur ton PC :
Tu es sous XP SP2, le SP3 est + sécurisé
Tu as des problèmes pour passer en SP3 ?

Et surtout tu es encore sous IE6, très peu sécurisé.
Passe en IE7 voire IE8.

Herser
jackr13
Le #19470461
Bonjour Herser,

Herser wrote:
augustin wrote:
Herser a écrit :

***/
Pour toi c'est bon
Mais on aimerait savoir ce que donne le log HJT avant nettoyage



Voici , est-ce que cela convient ? Sinon indique moi la manip...

Merci encore. A.FB

******************************/




Euh, c'est avant KK.exe ? ou après
Il n'y a pas de processus malveillant sur ce log

Si t n'as pas fait KK.exe, fais le

Le log HJT révèle quand même des faiblesses sécuritaires sur ton PC :
Tu es sous XP SP2, le SP3 est + sécurisé
Tu as des problèmes pour passer en SP3 ?

Et surtout tu es encore sous IE6, très peu sécurisé.
Passe en IE7 voire IE8.

Herser



Le problème peut venir de Spyware Secure . Voir les lignes :
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} -
C:Program FilesAskTBarbar1.binASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} -
C:Program FilesAskTBarbar1.binASKTBAR.DLL

Apparement Asktbar.dll ... Spyware Secure. A vérifier ...
A passer un bon coup de Navilog1 ..

Amicalement,

jackr13
Publicité
Poster une réponse
Anonyme