Bonjour,
depuis quelques temps, un programme ou je ne sais quoi, fait démarrer
automatiquement IE sur la page web
et cela une fois par minute
http://www.unixshellz.info/antitrust/
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Je soupsonne un virus, mais je ne trouve pas
même la fonction auto protect ne fonctionne plus sur norton 2004
Help Help Hepl
merci à vous
Bonjour,
depuis quelques temps, un programme ou je ne sais quoi, fait démarrer
automatiquement IE sur la page web
et cela une fois par minute
http://www.unixshellz.info/antitrust/
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Je soupsonne un virus, mais je ne trouve pas
même la fonction auto protect ne fonctionne plus sur norton 2004
Help Help Hepl
merci à vous
Bonjour,
depuis quelques temps, un programme ou je ne sais quoi, fait démarrer
automatiquement IE sur la page web
et cela une fois par minute
http://www.unixshellz.info/antitrust/
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Je soupsonne un virus, mais je ne trouve pas
même la fonction auto protect ne fonctionne plus sur norton 2004
Help Help Hepl
merci à vous
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Le 09/07/2004 21:16, pegaz67, après rigueur et concertation, a rédigé :Bonjour,
depuis quelques temps, un programme ou je ne sais quoi, fait démarrer
automatiquement IE sur la page web
et cela une fois par minute
http://www.unixshellz.info/antitrust/
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Je soupsonne un virus, mais je ne trouve pas
même la fonction auto protect ne fonctionne plus sur norton 2004
Help Help Hepl
merci à vous
Scannez votre pc à l'aide d'AD-AWARE pour vérifier si ce n'est pas un
spyware
--
ComputerHotline
. E-Mail :
. Internet : http://membres.lycos.fr/bt5/
Le 09/07/2004 21:16, pegaz67, après rigueur et concertation, a rédigé :
Bonjour,
depuis quelques temps, un programme ou je ne sais quoi, fait démarrer
automatiquement IE sur la page web
et cela une fois par minute
http://www.unixshellz.info/antitrust/
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Je soupsonne un virus, mais je ne trouve pas
même la fonction auto protect ne fonctionne plus sur norton 2004
Help Help Hepl
merci à vous
Scannez votre pc à l'aide d'AD-AWARE pour vérifier si ce n'est pas un
spyware
--
ComputerHotline
. E-Mail : bt52000--enlevemoi--@yahoo.fr
. Internet : http://membres.lycos.fr/bt5/
Le 09/07/2004 21:16, pegaz67, après rigueur et concertation, a rédigé :Bonjour,
depuis quelques temps, un programme ou je ne sais quoi, fait démarrer
automatiquement IE sur la page web
et cela une fois par minute
http://www.unixshellz.info/antitrust/
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
Je soupsonne un virus, mais je ne trouve pas
même la fonction auto protect ne fonctionne plus sur norton 2004
Help Help Hepl
merci à vous
Scannez votre pc à l'aide d'AD-AWARE pour vérifier si ce n'est pas un
spyware
--
ComputerHotline
. E-Mail :
. Internet : http://membres.lycos.fr/bt5/
Salut,
pegaz67:avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
C'est le logiciel publicitaire (adware) MediaTickets.
Poste un rapport d'hijackThis dans ce fil, et on t'aidera à t'en
débarasser facilement.
<URL:http://joke0.free.fr/ht.html>
Mets ton internet explorer à jour, et modifie ses réglages de
sécurité:
- ActiveX signés: demander
- ActiveX non-signés: refuser
- Iframe: interdire
--
joke0
Salut,
pegaz67:
avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
C'est le logiciel publicitaire (adware) MediaTickets.
Poste un rapport d'hijackThis dans ce fil, et on t'aidera à t'en
débarasser facilement.
<URL:http://joke0.free.fr/ht.html>
Mets ton internet explorer à jour, et modifie ses réglages de
sécurité:
- ActiveX signés: demander
- ActiveX non-signés: refuser
- Iframe: interdire
--
joke0
Salut,
pegaz67:avec comme message
WANT TO EARN 24K IN A MONTH?JOIN MEDIATICKETS NOW!
C'est le logiciel publicitaire (adware) MediaTickets.
Poste un rapport d'hijackThis dans ce fil, et on t'aidera à t'en
débarasser facilement.
<URL:http://joke0.free.fr/ht.html>
Mets ton internet explorer à jour, et modifie ses réglages de
sécurité:
- ActiveX signés: demander
- ActiveX non-signés: refuser
- Iframe: interdire
--
joke0
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:WINDOWSsystem32netclnc.exe
C:Program FilesCommon filesWinToolsWToolsS.exe
C:Program FilesCommon filesWinToolsWToolsA.exe
C:WINDOWSSystem32video_32sD.exe
C:WINDOWSSystem32wupdate.exe
C:Documents and SettingsFuchsApplication Datasaan.exe
C:WINDOWSSystem32yqtekr.exe
C:Program FilesCommon filesWinToolsWSup.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://www.websearch.com/ie.aspx?tb_idP007
http://www.websearch.com/ie.aspx?tb_idP007
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant =
http://www.websearch.com/ie.aspx?tb_idP007
R3 - URLSearchHook: (no name) -
{87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
O2 - BHO: (no name) - {4DFB300C-B342-2FB4-8756-64550DA62A1F} -
C:WINDOWSSystem32lihfyq.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
O4 - HKLM..Run: [WinTools] C:Program FilesCommon
filesWinToolsWToolsA.exe
O4 - HKLM..Run: [Microsoft Update Machine] taskmngrs.exe
O4 - HKLM..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM..Run: [Cryptographic Service]
C:WINDOWSSystem32ivglhepv.exe O4 - HKLM..RunServices:
[Microsoft Update Machine] taskmngrs.exe O4 -
HKLM..RunServices: [NVIDIA Video drivers] video_32sD.exe O4
- HKLM..RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [Acoe] C:Documents and
SettingsFuchsApplication Datasaan.exe
O4 - HKCU..Run: [Ebxqngux] C:WINDOWSSystem32yqtekr.exe
O4 - Global Startup: GStartup.lnk = C:Program FilesFichiers
communsGMTGMT.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF}
(MediaTicketsInstaller Control) -
http://www.mt-download.com/MediaTicketsInstaller.cab
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:WINDOWSsystem32netclnc.exe
C:Program FilesCommon filesWinToolsWToolsS.exe
C:Program FilesCommon filesWinToolsWToolsA.exe
C:WINDOWSSystem32video_32sD.exe
C:WINDOWSSystem32wupdate.exe
C:Documents and SettingsFuchsApplication Datasaan.exe
C:WINDOWSSystem32yqtekr.exe
C:Program FilesCommon filesWinToolsWSup.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://www.websearch.com/ie.aspx?tb_idP007
http://www.websearch.com/ie.aspx?tb_idP007
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant =
http://www.websearch.com/ie.aspx?tb_idP007
R3 - URLSearchHook: (no name) -
{87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
O2 - BHO: (no name) - {4DFB300C-B342-2FB4-8756-64550DA62A1F} -
C:WINDOWSSystem32lihfyq.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
O4 - HKLM..Run: [WinTools] C:Program FilesCommon
filesWinToolsWToolsA.exe
O4 - HKLM..Run: [Microsoft Update Machine] taskmngrs.exe
O4 - HKLM..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM..Run: [Cryptographic Service]
C:WINDOWSSystem32ivglhepv.exe O4 - HKLM..RunServices:
[Microsoft Update Machine] taskmngrs.exe O4 -
HKLM..RunServices: [NVIDIA Video drivers] video_32sD.exe O4
- HKLM..RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [Acoe] C:Documents and
SettingsFuchsApplication Datasaan.exe
O4 - HKCU..Run: [Ebxqngux] C:WINDOWSSystem32yqtekr.exe
O4 - Global Startup: GStartup.lnk = C:Program FilesFichiers
communsGMTGMT.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF}
(MediaTicketsInstaller Control) -
http://www.mt-download.com/MediaTicketsInstaller.cab
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:WINDOWSsystem32netclnc.exe
C:Program FilesCommon filesWinToolsWToolsS.exe
C:Program FilesCommon filesWinToolsWToolsA.exe
C:WINDOWSSystem32video_32sD.exe
C:WINDOWSSystem32wupdate.exe
C:Documents and SettingsFuchsApplication Datasaan.exe
C:WINDOWSSystem32yqtekr.exe
C:Program FilesCommon filesWinToolsWSup.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://www.websearch.com/ie.aspx?tb_idP007
http://www.websearch.com/ie.aspx?tb_idP007
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant =
http://www.websearch.com/ie.aspx?tb_idP007
R3 - URLSearchHook: (no name) -
{87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
O2 - BHO: (no name) - {4DFB300C-B342-2FB4-8756-64550DA62A1F} -
C:WINDOWSSystem32lihfyq.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
O4 - HKLM..Run: [WinTools] C:Program FilesCommon
filesWinToolsWToolsA.exe
O4 - HKLM..Run: [Microsoft Update Machine] taskmngrs.exe
O4 - HKLM..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM..Run: [Cryptographic Service]
C:WINDOWSSystem32ivglhepv.exe O4 - HKLM..RunServices:
[Microsoft Update Machine] taskmngrs.exe O4 -
HKLM..RunServices: [NVIDIA Video drivers] video_32sD.exe O4
- HKLM..RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [Acoe] C:Documents and
SettingsFuchsApplication Datasaan.exe
O4 - HKCU..Run: [Ebxqngux] C:WINDOWSSystem32yqtekr.exe
O4 - Global Startup: GStartup.lnk = C:Program FilesFichiers
communsGMTGMT.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF}
(MediaTicketsInstaller Control) -
http://www.mt-download.com/MediaTicketsInstaller.cab
Salut,
[ Attention, c'est compliqué. Si tu as des questions avant de
procéder, n'hésite pas]
pegaz67:MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Dangereusement pas à jour et du coup, ton PC s'est fait véroler.Running processes:
C:WINDOWSsystem32netclnc.exe
Je parie un p'tit billet que c'est un bot irc (Agobot, sdbot,
xxxbot). Bref, une belle saloperie.
Un petit coup de scan ici pour savoir exactement:
http://www.kaspersky.com/fr/scanforvirus
Tu peux aussi m'en envoyer une copie.C:Program FilesCommon filesWinToolsWToolsS.exe
Logiciel publicitaire.C:Program FilesCommon filesWinToolsWToolsA.exe
Logiciel publicitaire.C:WINDOWSSystem32video_32sD.exe
Un ver.C:WINDOWSSystem32wupdate.exe
Un ver.C:Documents and SettingsFuchsApplication Datasaan.exe
C'est quoi ça?
http://www.kaspersky.com/fr/scanforvirusC:WINDOWSSystem32yqtekr.exe
Une bestiole.C:Program FilesCommon filesWinToolsWSup.exe
Logiciel publicitaire.R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://www.websearch.com/ie.aspx?tb_idP007
http://www.websearch.com/ie.aspx?tb_idP007
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant > > http://www.websearch.com/ie.aspx?tb_idP007
Tu coches ça.R3 - URLSearchHook: (no name) -
{87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
Tu coches ça aussi.O2 - BHO: (no name) - {4DFB300C-B342-2FB4-8756-64550DA62A1F} -
C:WINDOWSSystem32lihfyq.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
Ces 2 là pareil.O4 - HKLM..Run: [WinTools] C:Program FilesCommon
filesWinToolsWToolsA.exe
O4 - HKLM..Run: [Microsoft Update Machine] taskmngrs.exe
O4 - HKLM..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM..Run: [Cryptographic Service]
C:WINDOWSSystem32ivglhepv.exe O4 - HKLM..RunServices:
[Microsoft Update Machine] taskmngrs.exe O4 -
HKLM..RunServices: [NVIDIA Video drivers] video_32sD.exe O4
- HKLM..RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU..Run: [Microsoft Windows Update] wupdate.exe
Ces 10 là.O4 - HKCU..Run: [Acoe] C:Documents and
SettingsFuchsApplication Datasaan.exe
Si c'est indésirable, cocher aussi.O4 - HKCU..Run: [Ebxqngux] C:WINDOWSSystem32yqtekr.exe
Cocher.O4 - Global Startup: GStartup.lnk = C:Program FilesFichiers
communsGMTGMT.exe
C'est normal ça?O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF}
(MediaTicketsInstaller Control) -
http://www.mt-download.com/MediaTicketsInstaller.cab
Le voilà ton MediaTickets, mais franchement, vu ce que ta
machine héberge, c'est le dernier de tes soucis.
[Démarrer ici en fait]
Un petit exposé:
Ce ver qui s'est installé sur ta machine exploite de nombreuses
failles de windows pour pénétrer sur le PC depuis internet. Deux
en particulier:
La faille RPC DCOM, port 135, 139, 445, 593:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
La faille dans LSASS, port 445 :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps
2) n'utilise pas les services d'un firewall
# Étape 1: Activation du firewall de XP.
Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.
# Étape 2: Nettoyeurs.
Télécharger les nettoyeurs (60aine de bestioles courantes dont
des agobot/gaobot):
Stinger: http://vil.nai.com/vil/stinger
Clrav: ftp://updates3.kaspersky-labs.com/utils/clrav.com
Il se peut que le ver t'empêche d'atteindre ces sites.
Télécharge alors les fichiers d'ici:
http://joke0.free.fr/temp/clrav.zip
http://joke0.free.fr/temp/stinger.zip
# Étape 3: Préparation.
Déconnecte le PC d'internet (physiquement). Si tu as des
partages (pour cause de réseau local par exemple),
reconfigure-les (mots de passe solides, partage d'un répertoire
mais pas de tout le disque!).
Désactivation de la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
# Étape 4: Dévérolage.
Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec".
Tu lances ensuite clrav.com. Tu lanceras Stinger s'il y a un
problème avec le premier (il ne trouve rien).
Ensuite, tu lances HijackThis, tu fais un scan et tu coches ce
que je t'ai indiqué de cocher. Puis clique sur le bouton 'Fix
checked'.
# Étape 5: Remettre la restauration système (pas forcément en
mode automatique).
Redémarrer normalement.
# Étape 6: Mise à jour.
Fais un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.
Le firewall de XP ne filtre que le flux entrant, il est donc
conseillé d'en utilisant un autre. Il en existe des gratuits qui
sont parmis les meilleurs: Sygate, Kerio 2.15, Zone Alarm Free,
Outpost Free. FAQ Firewalls:
http://www.faqs.org/faqs/fr/comp/securite/firewall/
Il faudra alors désactiver le firewall d'XP si tu utilises un
autre firewall.
Si tu arrives jusque là sans problème, alors refait un rapport
avec HijackThis que je puisse voir si tout est bien propre.
--
joke0
Salut,
[ Attention, c'est compliqué. Si tu as des questions avant de
procéder, n'hésite pas]
pegaz67:
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Dangereusement pas à jour et du coup, ton PC s'est fait véroler.
Running processes:
C:WINDOWSsystem32netclnc.exe
Je parie un p'tit billet que c'est un bot irc (Agobot, sdbot,
xxxbot). Bref, une belle saloperie.
Un petit coup de scan ici pour savoir exactement:
http://www.kaspersky.com/fr/scanforvirus
Tu peux aussi m'en envoyer une copie.
C:Program FilesCommon filesWinToolsWToolsS.exe
Logiciel publicitaire.
C:Program FilesCommon filesWinToolsWToolsA.exe
Logiciel publicitaire.
C:WINDOWSSystem32video_32sD.exe
Un ver.
C:WINDOWSSystem32wupdate.exe
Un ver.
C:Documents and SettingsFuchsApplication Datasaan.exe
C'est quoi ça?
http://www.kaspersky.com/fr/scanforvirus
C:WINDOWSSystem32yqtekr.exe
Une bestiole.
C:Program FilesCommon filesWinToolsWSup.exe
Logiciel publicitaire.
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://www.websearch.com/ie.aspx?tb_idP007
http://www.websearch.com/ie.aspx?tb_idP007
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant > > http://www.websearch.com/ie.aspx?tb_idP007
Tu coches ça.
R3 - URLSearchHook: (no name) -
{87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
Tu coches ça aussi.
O2 - BHO: (no name) - {4DFB300C-B342-2FB4-8756-64550DA62A1F} -
C:WINDOWSSystem32lihfyq.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
Ces 2 là pareil.
O4 - HKLM..Run: [WinTools] C:Program FilesCommon
filesWinToolsWToolsA.exe
O4 - HKLM..Run: [Microsoft Update Machine] taskmngrs.exe
O4 - HKLM..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM..Run: [Cryptographic Service]
C:WINDOWSSystem32ivglhepv.exe O4 - HKLM..RunServices:
[Microsoft Update Machine] taskmngrs.exe O4 -
HKLM..RunServices: [NVIDIA Video drivers] video_32sD.exe O4
- HKLM..RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU..Run: [Microsoft Windows Update] wupdate.exe
Ces 10 là.
O4 - HKCU..Run: [Acoe] C:Documents and
SettingsFuchsApplication Datasaan.exe
Si c'est indésirable, cocher aussi.
O4 - HKCU..Run: [Ebxqngux] C:WINDOWSSystem32yqtekr.exe
Cocher.
O4 - Global Startup: GStartup.lnk = C:Program FilesFichiers
communsGMTGMT.exe
C'est normal ça?
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF}
(MediaTicketsInstaller Control) -
http://www.mt-download.com/MediaTicketsInstaller.cab
Le voilà ton MediaTickets, mais franchement, vu ce que ta
machine héberge, c'est le dernier de tes soucis.
[Démarrer ici en fait]
Un petit exposé:
Ce ver qui s'est installé sur ta machine exploite de nombreuses
failles de windows pour pénétrer sur le PC depuis internet. Deux
en particulier:
La faille RPC DCOM, port 135, 139, 445, 593:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
La faille dans LSASS, port 445 :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps
2) n'utilise pas les services d'un firewall
# Étape 1: Activation du firewall de XP.
Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.
# Étape 2: Nettoyeurs.
Télécharger les nettoyeurs (60aine de bestioles courantes dont
des agobot/gaobot):
Stinger: http://vil.nai.com/vil/stinger
Clrav: ftp://updates3.kaspersky-labs.com/utils/clrav.com
Il se peut que le ver t'empêche d'atteindre ces sites.
Télécharge alors les fichiers d'ici:
http://joke0.free.fr/temp/clrav.zip
http://joke0.free.fr/temp/stinger.zip
# Étape 3: Préparation.
Déconnecte le PC d'internet (physiquement). Si tu as des
partages (pour cause de réseau local par exemple),
reconfigure-les (mots de passe solides, partage d'un répertoire
mais pas de tout le disque!).
Désactivation de la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
# Étape 4: Dévérolage.
Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec".
Tu lances ensuite clrav.com. Tu lanceras Stinger s'il y a un
problème avec le premier (il ne trouve rien).
Ensuite, tu lances HijackThis, tu fais un scan et tu coches ce
que je t'ai indiqué de cocher. Puis clique sur le bouton 'Fix
checked'.
# Étape 5: Remettre la restauration système (pas forcément en
mode automatique).
Redémarrer normalement.
# Étape 6: Mise à jour.
Fais un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.
Le firewall de XP ne filtre que le flux entrant, il est donc
conseillé d'en utilisant un autre. Il en existe des gratuits qui
sont parmis les meilleurs: Sygate, Kerio 2.15, Zone Alarm Free,
Outpost Free. FAQ Firewalls:
http://www.faqs.org/faqs/fr/comp/securite/firewall/
Il faudra alors désactiver le firewall d'XP si tu utilises un
autre firewall.
Si tu arrives jusque là sans problème, alors refait un rapport
avec HijackThis que je puisse voir si tout est bien propre.
--
joke0
Salut,
[ Attention, c'est compliqué. Si tu as des questions avant de
procéder, n'hésite pas]
pegaz67:MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Dangereusement pas à jour et du coup, ton PC s'est fait véroler.Running processes:
C:WINDOWSsystem32netclnc.exe
Je parie un p'tit billet que c'est un bot irc (Agobot, sdbot,
xxxbot). Bref, une belle saloperie.
Un petit coup de scan ici pour savoir exactement:
http://www.kaspersky.com/fr/scanforvirus
Tu peux aussi m'en envoyer une copie.C:Program FilesCommon filesWinToolsWToolsS.exe
Logiciel publicitaire.C:Program FilesCommon filesWinToolsWToolsA.exe
Logiciel publicitaire.C:WINDOWSSystem32video_32sD.exe
Un ver.C:WINDOWSSystem32wupdate.exe
Un ver.C:Documents and SettingsFuchsApplication Datasaan.exe
C'est quoi ça?
http://www.kaspersky.com/fr/scanforvirusC:WINDOWSSystem32yqtekr.exe
Une bestiole.C:Program FilesCommon filesWinToolsWSup.exe
Logiciel publicitaire.R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar
= http://www.websearch.com/ie.aspx?tb_idP007
http://www.websearch.com/ie.aspx?tb_idP007
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant > > http://www.websearch.com/ie.aspx?tb_idP007
Tu coches ça.R3 - URLSearchHook: (no name) -
{87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
Tu coches ça aussi.O2 - BHO: (no name) - {4DFB300C-B342-2FB4-8756-64550DA62A1F} -
C:WINDOWSSystem32lihfyq.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} -
C:PROGRA~1COMMON~1WinToolsWToolsB.dll
Ces 2 là pareil.O4 - HKLM..Run: [WinTools] C:Program FilesCommon
filesWinToolsWToolsA.exe
O4 - HKLM..Run: [Microsoft Update Machine] taskmngrs.exe
O4 - HKLM..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKLM..Run: [Microsoft Windows Update] wupdate.exe
O4 - HKLM..Run: [Cryptographic Service]
C:WINDOWSSystem32ivglhepv.exe O4 - HKLM..RunServices:
[Microsoft Update Machine] taskmngrs.exe O4 -
HKLM..RunServices: [NVIDIA Video drivers] video_32sD.exe O4
- HKLM..RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKCU..Run: [NVIDIA Video drivers] video_32sD.exe
O4 - HKCU..Run: [Microsoft Windows Update] wupdate.exe
Ces 10 là.O4 - HKCU..Run: [Acoe] C:Documents and
SettingsFuchsApplication Datasaan.exe
Si c'est indésirable, cocher aussi.O4 - HKCU..Run: [Ebxqngux] C:WINDOWSSystem32yqtekr.exe
Cocher.O4 - Global Startup: GStartup.lnk = C:Program FilesFichiers
communsGMTGMT.exe
C'est normal ça?O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF}
(MediaTicketsInstaller Control) -
http://www.mt-download.com/MediaTicketsInstaller.cab
Le voilà ton MediaTickets, mais franchement, vu ce que ta
machine héberge, c'est le dernier de tes soucis.
[Démarrer ici en fait]
Un petit exposé:
Ce ver qui s'est installé sur ta machine exploite de nombreuses
failles de windows pour pénétrer sur le PC depuis internet. Deux
en particulier:
La faille RPC DCOM, port 135, 139, 445, 593:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
La faille dans LSASS, port 445 :
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps
2) n'utilise pas les services d'un firewall
# Étape 1: Activation du firewall de XP.
Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.
# Étape 2: Nettoyeurs.
Télécharger les nettoyeurs (60aine de bestioles courantes dont
des agobot/gaobot):
Stinger: http://vil.nai.com/vil/stinger
Clrav: ftp://updates3.kaspersky-labs.com/utils/clrav.com
Il se peut que le ver t'empêche d'atteindre ces sites.
Télécharge alors les fichiers d'ici:
http://joke0.free.fr/temp/clrav.zip
http://joke0.free.fr/temp/stinger.zip
# Étape 3: Préparation.
Déconnecte le PC d'internet (physiquement). Si tu as des
partages (pour cause de réseau local par exemple),
reconfigure-les (mots de passe solides, partage d'un répertoire
mais pas de tout le disque!).
Désactivation de la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
# Étape 4: Dévérolage.
Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec".
Tu lances ensuite clrav.com. Tu lanceras Stinger s'il y a un
problème avec le premier (il ne trouve rien).
Ensuite, tu lances HijackThis, tu fais un scan et tu coches ce
que je t'ai indiqué de cocher. Puis clique sur le bouton 'Fix
checked'.
# Étape 5: Remettre la restauration système (pas forcément en
mode automatique).
Redémarrer normalement.
# Étape 6: Mise à jour.
Fais un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.
Le firewall de XP ne filtre que le flux entrant, il est donc
conseillé d'en utilisant un autre. Il en existe des gratuits qui
sont parmis les meilleurs: Sygate, Kerio 2.15, Zone Alarm Free,
Outpost Free. FAQ Firewalls:
http://www.faqs.org/faqs/fr/comp/securite/firewall/
Il faudra alors désactiver le firewall d'XP si tu utilises un
autre firewall.
Si tu arrives jusque là sans problème, alors refait un rapport
avec HijackThis que je puisse voir si tout est bien propre.
--
joke0
