Bonjour,
Je suis infecté par quelquechose qui a ces caractéristiques :
au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone
dans la barre des taches est l'icone generalement utilisée pour
l'installation d'un programme (ordi+disquettes à côté).
si j'accepte cette connection, il se connecte effectivement et tente
d'envoyer un message à l'adresse eastsidesoccer2000@yahoo.ca
Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre
delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses.
Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980
J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre.
(j'en ai meme supprimé une CTFMON.EXE dans hkey current user....\run croyant
que j'étais infecté W32.Xau@mm)
Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance:
Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ?
Merci d'avance
@
Regarde ce qu'il y a là: HKEY_CLASS_ROOTexefileshellopencommand
la bonne valeur est: "%1" %* Tu devrais avoir: prog.exe "%1 %* "
Tu remets la bonne valeur et tu rédemarres en mode sans échec, puis tu retrouves "prog.exe" (remplacer par le bon nom) et tu le vires.
-- @+ Ascadix
Sarah
Je ne peux pas vous aider je suis désolée mais j'ai un problème et comme vous avez l'air de vous y connaitre en informatique.... Voilà je ne peux plus envoyer des mails vers le serveur Aol ! Sinon je reçois le message derreur que je vous ai copié . Aidez moi svp !!!!!!!!!!!!!!!
Sin- Ces destinataires ont été traités par le serveur de messagerie : ; Échec; 5.1.2 (adresse système de destination incorrecte)
ATM à distance mailin-01.mx.aol.com : erreur du réseau
- Diagnostic SMTP : 554-(RLY:B1) The information presently available to AOL indicates thisrn554-server is generating high volumes of member complaints from AOL'srn554-member base. Based on AOL's Unsolicited Bulk E-mail policy atrn554-http://www.aol.com/info/bulkemail.html AOL may not accept furtherrn554-e-mail transactions from this server or domain. For more information,rn554 please visit http://postmaster.info.aol.com.
Je ne peux pas vous aider je suis désolée mais j'ai un problème et comme vous
avez l'air de vous y connaitre en informatique.... Voilà je ne peux plus envoyer
des mails vers le serveur Aol ! Sinon je reçois le message derreur que je vous
ai copié . Aidez moi svp !!!!!!!!!!!!!!!
Sin- Ces destinataires ont été traités par le serveur de messagerie :
zedith2015@aol.com; Échec; 5.1.2 (adresse système de destination incorrecte)
ATM à distance mailin-01.mx.aol.com : erreur du réseau
- Diagnostic SMTP : 554-(RLY:B1) The information presently available to AOL
indicates thisrn554-server is generating high volumes of member complaints
from AOL'srn554-member base. Based on AOL's Unsolicited Bulk E-mail policy
atrn554-http://www.aol.com/info/bulkemail.html AOL may not accept
furtherrn554-e-mail transactions from this server or domain. For more
information,rn554 please visit http://postmaster.info.aol.com.
Je ne peux pas vous aider je suis désolée mais j'ai un problème et comme vous avez l'air de vous y connaitre en informatique.... Voilà je ne peux plus envoyer des mails vers le serveur Aol ! Sinon je reçois le message derreur que je vous ai copié . Aidez moi svp !!!!!!!!!!!!!!!
Sin- Ces destinataires ont été traités par le serveur de messagerie : ; Échec; 5.1.2 (adresse système de destination incorrecte)
ATM à distance mailin-01.mx.aol.com : erreur du réseau
- Diagnostic SMTP : 554-(RLY:B1) The information presently available to AOL indicates thisrn554-server is generating high volumes of member complaints from AOL'srn554-member base. Based on AOL's Unsolicited Bulk E-mail policy atrn554-http://www.aol.com/info/bulkemail.html AOL may not accept furtherrn554-e-mail transactions from this server or domain. For more information,rn554 please visit http://postmaster.info.aol.com.
Antoine B
J'en suis là : Je sais quel est le fichier incriminé, il s'agit bien de C:windowssvchost.exe J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT, redémarré, et au surprise le fichier svchost.exe est réapparut ...
Je voudrais bien poster ce virus chez kaspersky mais le serveur est toujours down ...
Quelqu'un le veut par email ?
@ntoine
J'en suis là :
Je sais quel est le fichier incriminé, il s'agit bien de
C:windowssvchost.exe
J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT,
redémarré, et au surprise le fichier svchost.exe est réapparut ...
Je voudrais bien poster ce virus chez kaspersky mais le serveur est toujours
down ...
J'en suis là : Je sais quel est le fichier incriminé, il s'agit bien de C:windowssvchost.exe J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT, redémarré, et au surprise le fichier svchost.exe est réapparut ...
Je voudrais bien poster ce virus chez kaspersky mais le serveur est toujours down ...
Quelqu'un le veut par email ?
@ntoine
Antoine B
En faisant une recherche dans le registre sur "C:WINDOWSsvchost.exe" j'ai trouvé ça :
"Antoine B" a écrit dans le message de news: 3f637067$0$20625$
J'en suis là : Je sais quel est le fichier incriminé, il s'agit bien de C:windowssvchost.exe J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT, redémarré, et au surprise le fichier svchost.exe est réapparut ...
Je voudrais bien poster ce virus chez kaspersky mais le serveur est toujours
down ...
Quelqu'un le veut par email ?
@ntoine
En faisant une recherche dans le registre sur "C:WINDOWSsvchost.exe" j'ai
trouvé ça :
"Antoine B" <antoineB@france.fr> a écrit dans le message de news:
3f637067$0$20625$626a54ce@news.free.fr...
J'en suis là :
Je sais quel est le fichier incriminé, il s'agit bien de
C:windowssvchost.exe
J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT,
redémarré, et au surprise le fichier svchost.exe est réapparut ...
Je voudrais bien poster ce virus chez kaspersky mais le serveur est
toujours
"Antoine B" a écrit dans le message de news: 3f637067$0$20625$
J'en suis là : Je sais quel est le fichier incriminé, il s'agit bien de C:windowssvchost.exe J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT, redémarré, et au surprise le fichier svchost.exe est réapparut ...
Je voudrais bien poster ce virus chez kaspersky mais le serveur est toujours
down ...
Quelqu'un le veut par email ?
@ntoine
djehuti
re "Antoine B" a écrit dans le message news: 3f637067$0$20625$
J'en suis là : Je sais quel est le fichier incriminé, il s'agit bien de C:windowssvchost.exe J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT, redémarré, et au surprise le fichier svchost.exe est réapparut ...
tu as désactivé la restauration système ?
Quelqu'un le veut par email ?
OK... mais zippé avec un mot de passe (si possible)
@tchao
re
"Antoine B" <antoineB@france.fr> a écrit dans le message news:
3f637067$0$20625$626a54ce@news.free.fr
J'en suis là :
Je sais quel est le fichier incriminé, il s'agit bien de
C:windowssvchost.exe
J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT,
redémarré, et au surprise le fichier svchost.exe est réapparut ...
tu as désactivé la restauration système ?
Quelqu'un le veut par email ?
OK... mais zippé avec un mot de passe (si possible)
re "Antoine B" a écrit dans le message news: 3f637067$0$20625$
J'en suis là : Je sais quel est le fichier incriminé, il s'agit bien de C:windowssvchost.exe J'ai killé le process, renommer le fichier en svchost.VIRUSDELAMORT, redémarré, et au surprise le fichier svchost.exe est réapparut ...
tu as désactivé la restauration système ?
Quelqu'un le veut par email ?
OK... mais zippé avec un mot de passe (si possible)
@tchao
joke0
Salut,
Antoine B:
C:windowssvchost.exe
Backdoor.BeastDoor.201.b (d'après KAV)
Désactive le processus comme tu l'a déjà fait, désactive la restauration système: http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
Puis supprime le fichier concerné et passe un coup d'AV.
-- joke0
Salut,
Antoine B:
C:windowssvchost.exe
Backdoor.BeastDoor.201.b (d'après KAV)
Désactive le processus comme tu l'a déjà fait, désactive la restauration système:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5
Puis supprime le fichier concerné et passe un coup d'AV.
