Bonjour,
Après m'être trompé de forum, je me permets de poster ici.
Notre réseau est infecté par une variante du virus w32/sdbot.wom.gen.y
Une variante car l'éxécutable en question est inconnu sur le net.
Programme MSASP32.EXE s'installe en process + base de registres + nombreux
fichiers sur la racine C: (mswin32.exe, mswin32e, mswapi32, mswin32-update,
mpsrt32, mswinups).
Il utilise le port 445 (partage Microsoft) et se duplique de partout sur les
postes XP (normaux et/ou SP1).
Les postes plantent, démarrage impossible, barre des tâches bugée
(CTRL+ALT+SUPP).
Nous faisons tout dans les règles de l'art (mode sans échec, resto auto
désactivée, bases de registre nettoyée, fichiers supprimés) et il revient de
suite au reboot de la station.
Sur les conseils du prestataire, qui a donné sa langue au chat, nous avons
également désactivé le service "modifier base de registres à distance"
Au secour !!!
Phil
Logfile of HijackThis v1.99.1
Scan saved at 08:51:35, on 21/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o) Bon à tous @rchie
-- «Qui n'observe rien, n'apprend rien» Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Salut à tous ! Philou vient de nous *re* annoncer :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils
qui te sont donnés ;-)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn
et dis-ns :o)
Bon m@rdi à tous @rchie
--
«Qui n'observe rien, n'apprend rien»
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o) Bon à tous @rchie
-- «Qui n'observe rien, n'apprend rien» Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-( http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32% 2Eexe
Bon à tous @rchie
-- « Lire et ne rien entendre .. Est comme chasser et ne rien prendre..» (proverbe du 16° siècle ) Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te
sont donnés ;-)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn
et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-(
http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32%
2Eexe
Bon m@rdi à tous @rchie
--
« Lire et ne rien entendre ..
Est comme chasser et ne rien prendre..»
(proverbe du 16° siècle )
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-( http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32% 2Eexe
Bon à tous @rchie
-- « Lire et ne rien entendre .. Est comme chasser et ne rien prendre..» (proverbe du 16° siècle ) Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Philou
Super merci,
J'y cours
Phil
"@rchie" wrote:
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-( http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32% 2Eexe
Bon à tous @rchie
-- « Lire et ne rien entendre .. Est comme chasser et ne rien prendre..» (proverbe du 16° siècle ) Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Super merci,
J'y cours
Phil
"@rchie" wrote:
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te
sont donnés ;-)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn
et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-(
http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32%
2Eexe
Bon m@rdi à tous @rchie
--
« Lire et ne rien entendre ..
Est comme chasser et ne rien prendre..»
(proverbe du 16° siècle )
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-( http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32% 2Eexe
Bon à tous @rchie
-- « Lire et ne rien entendre .. Est comme chasser et ne rien prendre..» (proverbe du 16° siècle ) Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Philou
Bonjour,
J'ai bien appliqué toutes les recommandations mais je constate quelque chose de bizarre:
Le fichier MSASP32.EXE est introuvable sur C: mais si je tape la commande avec le nom de ce fichier, il se lance...
Sur 1 machine je fais ce test, je kill de suite le process et le retrouve dans C:windowssystem32. Je le supprime et je suis sauvé, il n'existe plus et je ne peux plus le lancer en commande. sur 1 autre, je fais pareils et il est introuvable dans system32. Help, il y a -t-il un cache mémoire qui le stockerait en mémoire vive ??? Quelle commande pour le rechercher efficacement ?
Merci Phil
"@rchie" wrote:
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-( http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32% 2Eexe
Bon à tous @rchie
-- « Lire et ne rien entendre .. Est comme chasser et ne rien prendre..» (proverbe du 16° siècle ) Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Bonjour,
J'ai bien appliqué toutes les recommandations mais je constate quelque chose
de bizarre:
Le fichier MSASP32.EXE est introuvable sur C: mais si je tape la commande
avec le nom de ce fichier, il se lance...
Sur 1 machine je fais ce test, je kill de suite le process et le retrouve
dans C:windowssystem32.
Je le supprime et je suis sauvé, il n'existe plus et je ne peux plus le
lancer en commande.
sur 1 autre, je fais pareils et il est introuvable dans system32.
Help, il y a -t-il un cache mémoire qui le stockerait en mémoire vive ???
Quelle commande pour le rechercher efficacement ?
Merci
Phil
"@rchie" wrote:
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te
sont donnés ;-)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn
et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-(
http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32%
2Eexe
Bon m@rdi à tous @rchie
--
« Lire et ne rien entendre ..
Est comme chasser et ne rien prendre..»
(proverbe du 16° siècle )
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
J'ai bien appliqué toutes les recommandations mais je constate quelque chose de bizarre:
Le fichier MSASP32.EXE est introuvable sur C: mais si je tape la commande avec le nom de ce fichier, il se lance...
Sur 1 machine je fais ce test, je kill de suite le process et le retrouve dans C:windowssystem32. Je le supprime et je suis sauvé, il n'existe plus et je ne peux plus le lancer en commande. sur 1 autre, je fais pareils et il est introuvable dans system32. Help, il y a -t-il un cache mémoire qui le stockerait en mémoire vive ??? Quelle commande pour le rechercher efficacement ?
Merci Phil
"@rchie" wrote:
Salut à tous, j'ai émis l'idée suivante :
le voilà ton mutant ;-) et stp, prends le temps de lire les conseils qui te sont donnés ;-) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FRBOT%2EAZV&VSect=Sn et dis-ns :o)
Ah oui, il y a aussi son petit frère ;-( http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=MSASP32%2Eexe&alt=MSASP32% 2Eexe
Bon à tous @rchie
-- « Lire et ne rien entendre .. Est comme chasser et ne rien prendre..» (proverbe du 16° siècle ) Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Salut à tous! Philou a présenté l'énoncé suivant :
Salut Philou! NB/ Vérifier si tu as bien les MAJ= Microsoft Security Bulletin MS03-026 +Microsoft Security Bulletin MS04-011 +vérifier que les dossiers cachés sont affichables (explorateur--»outils--»options dossiers--»affichage--» cocher la case 'afficher les fichiers et dossiers cachés' ]
1/ créer un point de sauvegarde ou exporter LA BDR 2/il faut opérer en mode sans échec après avoir désactivé la restau système 3/ il faut aller mettre les mains ds le cambouis ;-) ie ds la BDR à plusieurs endroits que je vais essayer de regrouper (afin de tenir compte des 2 variantes) --» démarrer--»executer--»regedit ----»enter--»aller voir ces clés:
_ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run --»à droite supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run --» à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices--»à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _à gche: dble clic et supprimer MS Auto-IPSec Protection = "MSASP32.exe"
--»puis fermer BDR --» 'redémarrer' et lancer un scan de vérif' en ligne de chez Trend ( puisqu'ils les ont identifiés= c'est le seul moyen , à mon humble avis, de vraiment les situer sur ton pc] sur: http://housecall60.trendmicro.com/en/start_corp.asp ou en Europe: http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php faire scan, et non autoscan, pour bien repérer les planqués ;si uncleanable --»clic/delete (des fois, le teigneux ne saute qu'au 2° ou 3° coup) --» ne remettre la restau système que si *tout* est propre
NB: avec Claude je croisque vs vs occupez de l'autre face du pb --» car il est écrit, grosso modo, ce malware modifie 'EnableDCOM et de RestrictAnonymous enregistrement' selon une certaine valeur--»restaurer leurs valeurs originales et référez-vous svp à ces articles http://support.microsoft.com/kb/q158508/ ; W2k est cité, ???action sur XP??? la question est lancée :o) [[Quant à ta question sur xp cf SP2 --» oui, tout en SP2 = mais c'est un avis perso ;-) ]] @+ bon mercredi @ tous @rchie
-- «Qui n'observe rien, n'apprend rien» Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Salut à tous! Philou a présenté l'énoncé suivant :
Salut Philou!
NB/ Vérifier si tu as bien les MAJ= Microsoft Security Bulletin
MS03-026 +Microsoft Security Bulletin MS04-011 +vérifier que les
dossiers cachés sont affichables (explorateur--»outils--»options
dossiers--»affichage--» cocher la case 'afficher les fichiers et
dossiers cachés' ]
1/ créer un point de sauvegarde ou exporter LA BDR 2/il faut opérer en
mode sans échec après avoir désactivé la restau système 3/ il faut
aller mettre les mains ds le cambouis ;-) ie ds la BDR à plusieurs
endroits que je vais essayer de regrouper (afin de tenir compte des 2
variantes) --» démarrer--»executer--»regedit ----»enter--»aller voir
ces clés:
_ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
--Ȉ droite supprimer
MS Auto-IPSec Protection = "MSASP32.exe"
_HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run --» à
dte supprimer
MS Auto-IPSec Protection = "MSASP32.exe"
_HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices--Ȉ
dte supprimer
MS Auto-IPSec Protection = "MSASP32.exe"
_à gche: dble clic et supprimer MS Auto-IPSec Protection =
"MSASP32.exe"
--»puis fermer BDR --» 'redémarrer' et lancer un scan de vérif' en
ligne de chez Trend ( puisqu'ils les ont identifiés= c'est le seul
moyen , à mon humble avis, de vraiment les situer sur ton pc] sur:
http://housecall60.trendmicro.com/en/start_corp.asp ou en Europe:
http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php
faire scan, et non autoscan, pour bien repérer les planqués ;si
uncleanable --»clic/delete (des fois, le teigneux ne saute qu'au 2° ou
3° coup)
--» ne remettre la restau système que si *tout* est propre
NB: avec Claude je croisque vs vs occupez de l'autre face du pb --» car
il est écrit, grosso modo, ce malware modifie 'EnableDCOM et de
RestrictAnonymous enregistrement' selon une certaine valeur--»restaurer
leurs valeurs originales et référez-vous svp à ces articles
http://support.microsoft.com/kb/q158508/ ; W2k est cité, ???action
sur XP??? la question est lancée :o)
[[Quant à ta question sur xp cf SP2 --» oui, tout en SP2 = mais c'est
un avis perso ;-) ]] @+
bon mercredi @ tous @rchie
--
«Qui n'observe rien, n'apprend rien»
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
Salut Philou! NB/ Vérifier si tu as bien les MAJ= Microsoft Security Bulletin MS03-026 +Microsoft Security Bulletin MS04-011 +vérifier que les dossiers cachés sont affichables (explorateur--»outils--»options dossiers--»affichage--» cocher la case 'afficher les fichiers et dossiers cachés' ]
1/ créer un point de sauvegarde ou exporter LA BDR 2/il faut opérer en mode sans échec après avoir désactivé la restau système 3/ il faut aller mettre les mains ds le cambouis ;-) ie ds la BDR à plusieurs endroits que je vais essayer de regrouper (afin de tenir compte des 2 variantes) --» démarrer--»executer--»regedit ----»enter--»aller voir ces clés:
_ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run --»à droite supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run --» à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices--»à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _à gche: dble clic et supprimer MS Auto-IPSec Protection = "MSASP32.exe"
--»puis fermer BDR --» 'redémarrer' et lancer un scan de vérif' en ligne de chez Trend ( puisqu'ils les ont identifiés= c'est le seul moyen , à mon humble avis, de vraiment les situer sur ton pc] sur: http://housecall60.trendmicro.com/en/start_corp.asp ou en Europe: http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php faire scan, et non autoscan, pour bien repérer les planqués ;si uncleanable --»clic/delete (des fois, le teigneux ne saute qu'au 2° ou 3° coup) --» ne remettre la restau système que si *tout* est propre
NB: avec Claude je croisque vs vs occupez de l'autre face du pb --» car il est écrit, grosso modo, ce malware modifie 'EnableDCOM et de RestrictAnonymous enregistrement' selon une certaine valeur--»restaurer leurs valeurs originales et référez-vous svp à ces articles http://support.microsoft.com/kb/q158508/ ; W2k est cité, ???action sur XP??? la question est lancée :o) [[Quant à ta question sur xp cf SP2 --» oui, tout en SP2 = mais c'est un avis perso ;-) ]] @+ bon mercredi @ tous @rchie
-- «Qui n'observe rien, n'apprend rien» Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Philou
Merci @rchie, Je vais essayer demain matin.
Phil.
"@rchie" wrote:
Salut à tous! Philou a présenté l'énoncé suivant :
Salut Philou! NB/ Vérifier si tu as bien les MAJ= Microsoft Security Bulletin MS03-026 +Microsoft Security Bulletin MS04-011 +vérifier que les dossiers cachés sont affichables (explorateur--»outils--»options dossiers--»affichage--» cocher la case 'afficher les fichiers et dossiers cachés' ]
1/ créer un point de sauvegarde ou exporter LA BDR 2/il faut opérer en mode sans échec après avoir désactivé la restau système 3/ il faut aller mettre les mains ds le cambouis ;-) ie ds la BDR à plusieurs endroits que je vais essayer de regrouper (afin de tenir compte des 2 variantes) --» démarrer--»executer--»regedit ----»enter--»aller voir ces clés:
_ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run --»à droite supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run --» à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices--»à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _à gche: dble clic et supprimer MS Auto-IPSec Protection = "MSASP32.exe"
--»puis fermer BDR --» 'redémarrer' et lancer un scan de vérif' en ligne de chez Trend ( puisqu'ils les ont identifiés= c'est le seul moyen , à mon humble avis, de vraiment les situer sur ton pc] sur: http://housecall60.trendmicro.com/en/start_corp.asp ou en Europe: http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php faire scan, et non autoscan, pour bien repérer les planqués ;si uncleanable --»clic/delete (des fois, le teigneux ne saute qu'au 2° ou 3° coup) --» ne remettre la restau système que si *tout* est propre
NB: avec Claude je croisque vs vs occupez de l'autre face du pb --» car il est écrit, grosso modo, ce malware modifie 'EnableDCOM et de RestrictAnonymous enregistrement' selon une certaine valeur--»restaurer leurs valeurs originales et référez-vous svp à ces articles http://support.microsoft.com/kb/q158508/ ; W2k est cité, ???action sur XP??? la question est lancée :o) [[Quant à ta question sur xp cf SP2 --» oui, tout en SP2 = mais c'est un avis perso ;-) ]] @+ bon mercredi @ tous @rchie
-- «Qui n'observe rien, n'apprend rien» Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net
Merci @rchie,
Je vais essayer demain matin.
Phil.
"@rchie" wrote:
Salut à tous! Philou a présenté l'énoncé suivant :
Salut Philou!
NB/ Vérifier si tu as bien les MAJ= Microsoft Security Bulletin
MS03-026 +Microsoft Security Bulletin MS04-011 +vérifier que les
dossiers cachés sont affichables (explorateur--»outils--»options
dossiers--»affichage--» cocher la case 'afficher les fichiers et
dossiers cachés' ]
1/ créer un point de sauvegarde ou exporter LA BDR 2/il faut opérer en
mode sans échec après avoir désactivé la restau système 3/ il faut
aller mettre les mains ds le cambouis ;-) ie ds la BDR à plusieurs
endroits que je vais essayer de regrouper (afin de tenir compte des 2
variantes) --» démarrer--»executer--»regedit ----»enter--»aller voir
ces clés:
_ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
--Ȉ droite supprimer
MS Auto-IPSec Protection = "MSASP32.exe"
_HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run --» à
dte supprimer
MS Auto-IPSec Protection = "MSASP32.exe"
_HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices--Ȉ
dte supprimer
MS Auto-IPSec Protection = "MSASP32.exe"
_à gche: dble clic et supprimer MS Auto-IPSec Protection =
"MSASP32.exe"
--»puis fermer BDR --» 'redémarrer' et lancer un scan de vérif' en
ligne de chez Trend ( puisqu'ils les ont identifiés= c'est le seul
moyen , à mon humble avis, de vraiment les situer sur ton pc] sur:
http://housecall60.trendmicro.com/en/start_corp.asp ou en Europe:
http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php
faire scan, et non autoscan, pour bien repérer les planqués ;si
uncleanable --»clic/delete (des fois, le teigneux ne saute qu'au 2° ou
3° coup)
--» ne remettre la restau système que si *tout* est propre
NB: avec Claude je croisque vs vs occupez de l'autre face du pb --» car
il est écrit, grosso modo, ce malware modifie 'EnableDCOM et de
RestrictAnonymous enregistrement' selon une certaine valeur--»restaurer
leurs valeurs originales et référez-vous svp à ces articles
http://support.microsoft.com/kb/q158508/ ; W2k est cité, ???action
sur XP??? la question est lancée :o)
[[Quant à ta question sur xp cf SP2 --» oui, tout en SP2 = mais c'est
un avis perso ;-) ]] @+
bon mercredi @ tous @rchie
--
«Qui n'observe rien, n'apprend rien»
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
Salut Philou! NB/ Vérifier si tu as bien les MAJ= Microsoft Security Bulletin MS03-026 +Microsoft Security Bulletin MS04-011 +vérifier que les dossiers cachés sont affichables (explorateur--»outils--»options dossiers--»affichage--» cocher la case 'afficher les fichiers et dossiers cachés' ]
1/ créer un point de sauvegarde ou exporter LA BDR 2/il faut opérer en mode sans échec après avoir désactivé la restau système 3/ il faut aller mettre les mains ds le cambouis ;-) ie ds la BDR à plusieurs endroits que je vais essayer de regrouper (afin de tenir compte des 2 variantes) --» démarrer--»executer--»regedit ----»enter--»aller voir ces clés:
_ HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run --»à droite supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run --» à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunServices--»à dte supprimer MS Auto-IPSec Protection = "MSASP32.exe" _à gche: dble clic et supprimer MS Auto-IPSec Protection = "MSASP32.exe"
--»puis fermer BDR --» 'redémarrer' et lancer un scan de vérif' en ligne de chez Trend ( puisqu'ils les ont identifiés= c'est le seul moyen , à mon humble avis, de vraiment les situer sur ton pc] sur: http://housecall60.trendmicro.com/en/start_corp.asp ou en Europe: http://fr.trendmicro-europe.com/consumer/housecall/housecall_launch.php faire scan, et non autoscan, pour bien repérer les planqués ;si uncleanable --»clic/delete (des fois, le teigneux ne saute qu'au 2° ou 3° coup) --» ne remettre la restau système que si *tout* est propre
NB: avec Claude je croisque vs vs occupez de l'autre face du pb --» car il est écrit, grosso modo, ce malware modifie 'EnableDCOM et de RestrictAnonymous enregistrement' selon une certaine valeur--»restaurer leurs valeurs originales et référez-vous svp à ces articles http://support.microsoft.com/kb/q158508/ ; W2k est cité, ???action sur XP??? la question est lancée :o) [[Quant à ta question sur xp cf SP2 --» oui, tout en SP2 = mais c'est un avis perso ;-) ]] @+ bon mercredi @ tous @rchie
-- «Qui n'observe rien, n'apprend rien» Ceci est une signature automatique de MesNews. Site : http://www.mesnews.net