- J'ai des connexions sortantes depuis un programme nommé "gater
corporation driver.exe" situé dans le répertoire system32.
- Par ailleurs, j'ai un fichier caché dans certains répertoires nommé
RPC update patch.exe.
Si j'essaye de lancer ce rpc update patch.exe, il tente à son tour
d'accéder à gater corporation driver.exe
Je n'ai jamais eu ça, donc, je ne sais pas du tout quoi penser.
Quelqu'un saurait à quoi correspondent et fichiers et comment s'en
débarasser ?
Merci à vous.
[Question également posée le 9/12/2003 13:57 sur fr.comp.securite avec
le sujet "Gater corporation driver"]
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
joke0
Salut,
Mojo:
- J'ai des connexions sortantes depuis un programme nommé "gater corporation driver.exe" situé dans le répertoire system32. - Par ailleurs, j'ai un fichier caché dans certains répertoires nommé RPC update patch.exe.
Tu fais CTRL+ALT+SUPPR, gestionnaire de tâches, tu désactives les deux processus.
Ensuite tu en fais une copie que tu envoies là: http://www.kaspersky.com/remoteviruschk.html
Quelqu'un saurait à quoi correspondent et fichiers et comment s'en débarasser ?
Si tu bloques quelque part, tu peux télécharger: ftp://updates3.kaspersky-labs.com/utils/clrav.com qui nettoie une 60aine de bestioles.
S'il ne trouve rien, télécharge Hijack This! : http://www.spywareinfo.com/~merijn/files/hijackthis.zip et fait lui scanner ta machine. Poste le rapport ici.
-- joke0
Salut,
Mojo:
- J'ai des connexions sortantes depuis un programme nommé
"gater corporation driver.exe" situé dans le répertoire
system32.
- Par ailleurs, j'ai un fichier caché dans certains
répertoires nommé RPC update patch.exe.
Tu fais CTRL+ALT+SUPPR, gestionnaire de tâches, tu désactives
les deux processus.
Ensuite tu en fais une copie que tu envoies là:
http://www.kaspersky.com/remoteviruschk.html
Quelqu'un saurait à quoi correspondent et fichiers et comment
s'en débarasser ?
Si tu bloques quelque part, tu peux télécharger:
ftp://updates3.kaspersky-labs.com/utils/clrav.com
qui nettoie une 60aine de bestioles.
S'il ne trouve rien, télécharge Hijack This! :
http://www.spywareinfo.com/~merijn/files/hijackthis.zip et fait
lui scanner ta machine. Poste le rapport ici.
- J'ai des connexions sortantes depuis un programme nommé "gater corporation driver.exe" situé dans le répertoire system32. - Par ailleurs, j'ai un fichier caché dans certains répertoires nommé RPC update patch.exe.
Tu fais CTRL+ALT+SUPPR, gestionnaire de tâches, tu désactives les deux processus.
Ensuite tu en fais une copie que tu envoies là: http://www.kaspersky.com/remoteviruschk.html
Quelqu'un saurait à quoi correspondent et fichiers et comment s'en débarasser ?
Si tu bloques quelque part, tu peux télécharger: ftp://updates3.kaspersky-labs.com/utils/clrav.com qui nettoie une 60aine de bestioles.
S'il ne trouve rien, télécharge Hijack This! : http://www.spywareinfo.com/~merijn/files/hijackthis.zip et fait lui scanner ta machine. Poste le rapport ici.
-- joke0
Mojo
joke0 a écrit (et je l'en remercie chaleureusement) :
Tu fais CTRL+ALT+SUPPR, gestionnaire de tâches, tu désactives les deux processus.
Tient, comme par hasard, impossible d'avoir le gestionnaire des tâches ;-)
Ensuite tu en fais une copie que tu envoies là: http://www.kaspersky.com/remoteviruschk.html
Worm.P2P.SpyBot.gen
:-((
J'ai lu qu'il se transmettait par des logiciels comme Kazaa, mais je n'ai installé ni kazaa, ni donkey ou autre p2p sur ma machine. Qui plus est, l'installation du système date d'hier... Donc, je suppose que cela vient de ces fameux fichiers "rpc upadte patch.exe" situés sur d'autres partitions de mon disque qui réinfectent automatiquement ma machine.
En tout cas, j'utilise AVAST depuis 2 mois, et je crois que je vais en rester là :-(
Un grand merci à toi, je n'ai "plus qu'à" trouver comment me débarrasser de cette horreur !
Amicalement,
Mojo.
joke0 a écrit (et je l'en remercie chaleureusement) :
Tu fais CTRL+ALT+SUPPR, gestionnaire de tâches, tu désactives
les deux processus.
Tient, comme par hasard, impossible d'avoir le gestionnaire des tâches ;-)
Ensuite tu en fais une copie que tu envoies là:
http://www.kaspersky.com/remoteviruschk.html
Worm.P2P.SpyBot.gen
:-((
J'ai lu qu'il se transmettait par des logiciels comme Kazaa, mais je
n'ai installé ni kazaa, ni donkey ou autre p2p sur ma machine. Qui plus
est, l'installation du système date d'hier...
Donc, je suppose que cela vient de ces fameux fichiers "rpc upadte
patch.exe" situés sur d'autres partitions de mon disque qui réinfectent
automatiquement ma machine.
En tout cas, j'utilise AVAST depuis 2 mois, et je crois que je vais en
rester là :-(
Un grand merci à toi, je n'ai "plus qu'à" trouver comment me débarrasser
de cette horreur !
joke0 a écrit (et je l'en remercie chaleureusement) :
Tu fais CTRL+ALT+SUPPR, gestionnaire de tâches, tu désactives les deux processus.
Tient, comme par hasard, impossible d'avoir le gestionnaire des tâches ;-)
Ensuite tu en fais une copie que tu envoies là: http://www.kaspersky.com/remoteviruschk.html
Worm.P2P.SpyBot.gen
:-((
J'ai lu qu'il se transmettait par des logiciels comme Kazaa, mais je n'ai installé ni kazaa, ni donkey ou autre p2p sur ma machine. Qui plus est, l'installation du système date d'hier... Donc, je suppose que cela vient de ces fameux fichiers "rpc upadte patch.exe" situés sur d'autres partitions de mon disque qui réinfectent automatiquement ma machine.
En tout cas, j'utilise AVAST depuis 2 mois, et je crois que je vais en rester là :-(
Un grand merci à toi, je n'ai "plus qu'à" trouver comment me débarrasser de cette horreur !
Amicalement,
Mojo.
joke0
Salut,
Mojo:
Worm.P2P.SpyBot.gen
C'est un ver qui se propage en mettant des copies de lui même dans les répertoires partagés des clients P2P (il faut l'exécuter localement pour ça).
Donc, je suppose que cela vient de ces fameux fichiers "rpc upadte patch.exe" situés sur d'autres partitions de mon disque qui réinfectent automatiquement ma machine.
Comme je l'écris plus haut, tu as dû exécuter le ver (rappelle-toi ;-)
En tout cas, j'utilise AVAST depuis 2 mois, et je crois que je vais en rester là :-(
C'est un antivirus correct pourvu qu'on soit *très* sage et qu'on respecte les règles élémentaire du "Safe Hex": http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
Un grand merci à toi, je n'ai "plus qu'à" trouver comment me débarrasser de cette horreur !
Méthode générique:
<copié>
1- Désactive la restauration système : http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
2- Redémarre en mode sans échec (touche F8 juste avant le logo de démarrage de windows), choix "safe mode" ou "mode sans échec",
3- Efface le(s) fichier(s) concernés.
4- Remettre la restauration système lorsque le ménage est fait.
</copié>
Tu surveilles quelque temps que lesdits fichiers ne réapparaissent pas.
Tu peux ensuite télécharger Hijack This! http://www.spywareinfo.com/~merijn/files/hijackthis.zip Tu lui fais scanner ta machine et tu publies le rapport ici pour qu'on puisse te dire quels sont les derniers nettoyages à faire dans la base de registre.
-- joke0
Salut,
Mojo:
Worm.P2P.SpyBot.gen
C'est un ver qui se propage en mettant des copies de lui même
dans les répertoires partagés des clients P2P (il faut
l'exécuter localement pour ça).
Donc, je suppose que cela vient de ces fameux
fichiers "rpc upadte patch.exe" situés sur d'autres partitions
de mon disque qui réinfectent automatiquement ma machine.
Comme je l'écris plus haut, tu as dû exécuter le ver
(rappelle-toi ;-)
En tout cas, j'utilise AVAST depuis 2 mois, et je crois que je
vais en rester là :-(
C'est un antivirus correct pourvu qu'on soit *très* sage et
qu'on respecte les règles élémentaire du "Safe Hex":
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
Un grand merci à toi, je n'ai "plus qu'à" trouver comment me
débarrasser de cette horreur !
Méthode générique:
<copié>
1- Désactive la restauration système :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
2- Redémarre en mode sans échec (touche F8 juste avant le logo
de démarrage de windows), choix "safe mode" ou "mode sans
échec",
3- Efface le(s) fichier(s) concernés.
4- Remettre la restauration système lorsque le ménage est fait.
</copié>
Tu surveilles quelque temps que lesdits fichiers ne
réapparaissent pas.
Tu peux ensuite télécharger Hijack This!
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Tu lui fais scanner ta machine et tu publies le rapport ici
pour qu'on puisse te dire quels sont les derniers nettoyages à
faire dans la base de registre.
C'est un ver qui se propage en mettant des copies de lui même dans les répertoires partagés des clients P2P (il faut l'exécuter localement pour ça).
Donc, je suppose que cela vient de ces fameux fichiers "rpc upadte patch.exe" situés sur d'autres partitions de mon disque qui réinfectent automatiquement ma machine.
Comme je l'écris plus haut, tu as dû exécuter le ver (rappelle-toi ;-)
En tout cas, j'utilise AVAST depuis 2 mois, et je crois que je vais en rester là :-(
C'est un antivirus correct pourvu qu'on soit *très* sage et qu'on respecte les règles élémentaire du "Safe Hex": http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
Un grand merci à toi, je n'ai "plus qu'à" trouver comment me débarrasser de cette horreur !
Méthode générique:
<copié>
1- Désactive la restauration système : http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
2- Redémarre en mode sans échec (touche F8 juste avant le logo de démarrage de windows), choix "safe mode" ou "mode sans échec",
3- Efface le(s) fichier(s) concernés.
4- Remettre la restauration système lorsque le ménage est fait.
</copié>
Tu surveilles quelque temps que lesdits fichiers ne réapparaissent pas.
Tu peux ensuite télécharger Hijack This! http://www.spywareinfo.com/~merijn/files/hijackthis.zip Tu lui fais scanner ta machine et tu publies le rapport ici pour qu'on puisse te dire quels sont les derniers nettoyages à faire dans la base de registre.
-- joke0
Mojo
Re...
Encore une question.
J'ai des données "sensibles" (codes ftp de différents sites par ex.) dans un fichier texte d'un répertoire contenant ce fameux fichier rpc update patch.exe. Il y a-t-il un risque que ces fichiers aient été accessibles ?
Re...
Encore une question.
J'ai des données "sensibles" (codes ftp de différents sites par ex.)
dans un fichier texte d'un répertoire contenant ce fameux fichier rpc
update patch.exe. Il y a-t-il un risque que ces fichiers aient été
accessibles ?
J'ai des données "sensibles" (codes ftp de différents sites par ex.) dans un fichier texte d'un répertoire contenant ce fameux fichier rpc update patch.exe. Il y a-t-il un risque que ces fichiers aient été accessibles ?
joke0
Salut,
Mojo:
J'ai des données "sensibles" (codes ftp de différents sites par ex.) dans un fichier texte d'un répertoire contenant ce fameux fichier rpc update patch.exe. Il y a-t-il un risque que ces fichiers aient été accessibles ?
Aucune idée. Le suffixe .gen dans le nom du ver signifie "générique" et donc il y a plein de bestioles différentes qui sont détectées (détection générique) sous ce nom. Impossible de dire ce que fait précisément celle-là.
Si tu veux, tu peux me faire parvenir l'un de ces fichiers, je transmettrais à un labo d'analyse.
-- joke0
Salut,
Mojo:
J'ai des données "sensibles" (codes ftp de différents sites
par ex.) dans un fichier texte d'un répertoire contenant ce
fameux fichier rpc update patch.exe. Il y a-t-il un risque que
ces fichiers aient été accessibles ?
Aucune idée. Le suffixe .gen dans le nom du ver signifie
"générique" et donc il y a plein de bestioles différentes qui
sont détectées (détection générique) sous ce nom. Impossible de
dire ce que fait précisément celle-là.
Si tu veux, tu peux me faire parvenir l'un de ces fichiers, je
transmettrais à un labo d'analyse.
J'ai des données "sensibles" (codes ftp de différents sites par ex.) dans un fichier texte d'un répertoire contenant ce fameux fichier rpc update patch.exe. Il y a-t-il un risque que ces fichiers aient été accessibles ?
Aucune idée. Le suffixe .gen dans le nom du ver signifie "générique" et donc il y a plein de bestioles différentes qui sont détectées (détection générique) sous ce nom. Impossible de dire ce que fait précisément celle-là.
Si tu veux, tu peux me faire parvenir l'un de ces fichiers, je transmettrais à un labo d'analyse.
-- joke0
Mojo
Si tu veux, tu peux me faire parvenir l'un de ces fichiers, je transmettrais à un labo d'analyse.
Je te remercie, tu en as fait assez pour moi comme ça ;-) D'autant plus que je viens de "tout" effacer (enfin, j'espère).
Si ça recommence par contre, ça sera avec plaisir que je recevrai à nouveau ton aide ! Wait & see...
Si tu veux, tu peux me faire parvenir l'un de ces fichiers, je
transmettrais à un labo d'analyse.
Je te remercie, tu en as fait assez pour moi comme ça ;-)
D'autant plus que je viens de "tout" effacer (enfin, j'espère).
Si ça recommence par contre, ça sera avec plaisir que je recevrai à
nouveau ton aide ! Wait & see...
