Bonjour,
Je suis infecté par quelquechose qui a ces caractéristiques :
au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone
dans la barre des taches est l'icone generalement utilisée pour
l'installation d'un programme (ordi+disquettes à côté).
si j'accepte cette connection, il se connecte effectivement et tente
d'envoyer un message à l'adresse eastsidesoccer2000@yahoo.ca
Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre
delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses.
Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980
J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre.
(j'en ai meme supprimé une CTFMON.EXE dans hkey current user....\run croyant
que j'étais infecté W32.Xau@mm)
Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance:
Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ?
Merci d'avance
@
couché à 5h30 cette nuit j'en suis là aujourd'hui ...
le virus etait camouflé dans un fichier dont je n'avais entendu parler nul part msxmhx.com dans C:windowssystem
c'etait donc une variante du backdoor.beasty.201
mais j'ai galéré pour l'enlever ... j'ai meme failli reinstallé XP ... maintenant j'ai un firewall, spybot, adaware, antivirus ... installés et prêts à la baston antivirus...
s'agissait il d'une variante non recensée ? en tout cas j'ai cherché partout et n'ai pas trouvé trace d'un msxmhx.com sur internet ... il reste qu'il me semble que mon PC boot moins vite qu'avant ... peut-être une légère psychose de ma part ...
En tout cas merci à tous pour vos conseils ... j'en sors outillé et informé ... @+ @ntoine.
"joke0" a écrit dans le message de news:
Salut,
Antoine B:
Toutes les clés de registre citées n'y sont pas ...
C'est normal, la backdoor est configurable. Le document dont je donne le lien présente simplement toutes les possibilités offertes pour le démarrage et pour le nom.
Je crois que tu as trouvé tout ce qu'il y avait à trouver.
-- joke0
bon ....
Etat des lieux ...
couché à 5h30 cette nuit j'en suis là aujourd'hui ...
le virus etait camouflé dans un fichier dont je n'avais entendu parler nul
part msxmhx.com dans C:windowssystem
c'etait donc une variante du backdoor.beasty.201
mais j'ai galéré pour l'enlever ...
j'ai meme failli reinstallé XP ...
maintenant j'ai un firewall, spybot, adaware, antivirus ... installés et
prêts à la baston antivirus...
s'agissait il d'une variante non recensée ? en tout cas j'ai cherché partout
et n'ai pas trouvé trace d'un msxmhx.com sur internet ...
il reste qu'il me semble que mon PC boot moins vite qu'avant ... peut-être
une légère psychose de ma part ...
En tout cas merci à tous pour vos conseils ... j'en sors outillé et informé
...
@+
@ntoine.
"joke0" <404pagenotfound@caramail.com> a écrit dans le message de news:
XnF93F6F931A84164N@joke0.net...
Salut,
Antoine B:
Toutes les clés de registre citées n'y sont pas ...
C'est normal, la backdoor est configurable. Le document dont je
donne le lien présente simplement toutes les possibilités offertes
pour le démarrage et pour le nom.
Je crois que tu as trouvé tout ce qu'il y avait à trouver.
couché à 5h30 cette nuit j'en suis là aujourd'hui ...
le virus etait camouflé dans un fichier dont je n'avais entendu parler nul part msxmhx.com dans C:windowssystem
c'etait donc une variante du backdoor.beasty.201
mais j'ai galéré pour l'enlever ... j'ai meme failli reinstallé XP ... maintenant j'ai un firewall, spybot, adaware, antivirus ... installés et prêts à la baston antivirus...
s'agissait il d'une variante non recensée ? en tout cas j'ai cherché partout et n'ai pas trouvé trace d'un msxmhx.com sur internet ... il reste qu'il me semble que mon PC boot moins vite qu'avant ... peut-être une légère psychose de ma part ...
En tout cas merci à tous pour vos conseils ... j'en sors outillé et informé ... @+ @ntoine.
"joke0" a écrit dans le message de news:
Salut,
Antoine B:
Toutes les clés de registre citées n'y sont pas ...
C'est normal, la backdoor est configurable. Le document dont je donne le lien présente simplement toutes les possibilités offertes pour le démarrage et pour le nom.
Je crois que tu as trouvé tout ce qu'il y avait à trouver.
-- joke0
joke0
Salut,
Antoine B:
c'etait donc une variante du backdoor.beasty.201
Non, comme je te l'ai dit, cette backdoor est un outil configurable. Le nom du serveur est au choix de l'attaquant. La question est: comment est-ce arrivé sur ton PC?
En tout cas merci à tous pour vos conseils ... j'en sors outillé et informé ...
Finalement une bonne expérience ;o)
-- joke0
Salut,
Antoine B:
c'etait donc une variante du backdoor.beasty.201
Non, comme je te l'ai dit, cette backdoor est un outil configurable.
Le nom du serveur est au choix de l'attaquant. La question est:
comment est-ce arrivé sur ton PC?
En tout cas merci à tous pour vos conseils ... j'en sors outillé
et informé ...
Non, comme je te l'ai dit, cette backdoor est un outil configurable. Le nom du serveur est au choix de l'attaquant. La question est: comment est-ce arrivé sur ton PC?
En tout cas merci à tous pour vos conseils ... j'en sors outillé et informé ...
Finalement une bonne expérience ;o)
-- joke0
Antoine B
Comme dit Joke0, il faudrait savoir comment il est arrivé chez toi ...
ben avant j'avais pas mis les 3 maj de XP en plus du SP1, j'avais chopé blaster, et j'avais pas de firewall ... ah j'oubliais, j'avais kazaa lite dernier version ... (qui comme par hasard quand j'étais infecté avais autorisé le partage de fichiers alors que je lui avais spécifié le contraire.Et en plus il crashait dès que j'ouvrais les options ...) Bref une vraie passoire ...
J'ai télécharger Sygate et kerio comme firewall et essayé les 2 mais je comprends pas toute les demande concernant l'autorisation ou non de tel et tel port ... Y'a pas de bouton "configure moi ça au poil vite fait et ne me poses plus de questions" c dommage. au lieu de ça j'ai droit à des "incoming" UDP j'sais pas quoi ...Y/N ? alors quand il site un outgoing et le nom de l'application je valide et lui dis de l'accepter la prochaine fois mais souvent je ne sais pas ce qu'il veut ... Quelqu'un peut me donner les ports/protocole à proscrire pour etre tranquille ? (ou un firewall muni du bouton precedemment cité)
@ntoine.
Comme dit Joke0, il faudrait savoir comment il est arrivé chez toi ...
ben avant j'avais pas mis les 3 maj de XP en plus du SP1, j'avais chopé
blaster, et j'avais pas de firewall ...
ah j'oubliais, j'avais kazaa lite dernier version ... (qui comme par hasard
quand j'étais infecté avais autorisé le partage de fichiers alors que je lui
avais spécifié le contraire.Et en plus il crashait dès que j'ouvrais les
options ...)
Bref une vraie passoire ...
J'ai télécharger Sygate et kerio comme firewall et essayé les 2 mais je
comprends pas toute les demande concernant l'autorisation ou non de tel et
tel port ...
Y'a pas de bouton "configure moi ça au poil vite fait et ne me poses plus de
questions" c dommage.
au lieu de ça j'ai droit à des "incoming" UDP j'sais pas quoi ...Y/N ?
alors quand il site un outgoing et le nom de l'application je valide et lui
dis de l'accepter la prochaine fois mais souvent je ne sais pas ce qu'il
veut ...
Quelqu'un peut me donner les ports/protocole à proscrire pour etre
tranquille ? (ou un firewall muni du bouton precedemment cité)
Comme dit Joke0, il faudrait savoir comment il est arrivé chez toi ...
ben avant j'avais pas mis les 3 maj de XP en plus du SP1, j'avais chopé blaster, et j'avais pas de firewall ... ah j'oubliais, j'avais kazaa lite dernier version ... (qui comme par hasard quand j'étais infecté avais autorisé le partage de fichiers alors que je lui avais spécifié le contraire.Et en plus il crashait dès que j'ouvrais les options ...) Bref une vraie passoire ...
J'ai télécharger Sygate et kerio comme firewall et essayé les 2 mais je comprends pas toute les demande concernant l'autorisation ou non de tel et tel port ... Y'a pas de bouton "configure moi ça au poil vite fait et ne me poses plus de questions" c dommage. au lieu de ça j'ai droit à des "incoming" UDP j'sais pas quoi ...Y/N ? alors quand il site un outgoing et le nom de l'application je valide et lui dis de l'accepter la prochaine fois mais souvent je ne sais pas ce qu'il veut ... Quelqu'un peut me donner les ports/protocole à proscrire pour etre tranquille ? (ou un firewall muni du bouton precedemment cité)
@ntoine.
joke0
Salut,
Antoine B:
Quelqu'un peut me donner les ports/protocole à proscrire pour etre tranquille ? (ou un firewall muni du bouton precedemment cité)
Bonjour, Je suis infecté par quelquechose qui a ces caractéristiques : au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet dont l'icone dans la barre des taches est l'icone generalement utilisée pour l'installation d'un programme (ordi+disquettes à côté). si j'accepte cette connection, il se connecte effectivement et tente d'envoyer un message à l'adresse Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses. Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif 823980 J'ai passé la nuit à comparer les effets d'infection de virus connus chez symantec avec mes propres clés de registre. (j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant que j'étais infecté ) Sans parler des 3 scans complets du système + des essais du stinger de chez Mc Affee ...
Un détail qui a son importance: Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et que je demande le process correspondant, il me montre un svchost.exe lancé par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ? Merci d'avance @
Bonjour, tu devrais verifier qu elles sont les DLLs qui utilise ton process svchost.exe et detruire celle(s) qui te pose probleme.
bien a toi
Antoine B wrote:
Bonjour,
Je suis infecté par quelquechose qui a ces caractéristiques :
au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone
dans la barre des taches est l'icone generalement utilisée pour
l'installation d'un programme (ordi+disquettes à côté).
si j'accepte cette connection, il se connecte effectivement et tente
d'envoyer un message à l'adresse eastsidesoccer2000@yahoo.ca
Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre
delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses.
Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980
J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre.
(j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant
que j'étais infecté W32.Xau@mm)
Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance:
Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ?
Merci d'avance
@
Bonjour, tu devrais verifier qu elles sont les DLLs qui utilise ton process svchost.exe et detruire celle(s) qui te pose probleme.
Bonjour, Je suis infecté par quelquechose qui a ces caractéristiques : au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet dont l'icone dans la barre des taches est l'icone generalement utilisée pour l'installation d'un programme (ordi+disquettes à côté). si j'accepte cette connection, il se connecte effectivement et tente d'envoyer un message à l'adresse Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses. Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif 823980 J'ai passé la nuit à comparer les effets d'infection de virus connus chez symantec avec mes propres clés de registre. (j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant que j'étais infecté ) Sans parler des 3 scans complets du système + des essais du stinger de chez Mc Affee ...
Un détail qui a son importance: Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et que je demande le process correspondant, il me montre un svchost.exe lancé par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ? Merci d'avance @
Bonjour, tu devrais verifier qu elles sont les DLLs qui utilise ton process svchost.exe et detruire celle(s) qui te pose probleme.
bien a toi
scott
"xtrauto" a écrit dans le message de news:
Antoine B wrote:
Bonjour, Je suis infecté par quelquechose qui a ces caractéristiques : au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone dans la barre des taches est l'icone generalement utilisée pour l'installation d'un programme (ordi+disquettes à côté). si j'accepte cette connection, il se connecte effectivement et tente d'envoyer un message à l'adresse Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses. Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980 J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre. (j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant
que j'étais infecté ) Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance: Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ? Merci d'avance @
----- Original Message ----- From: "xtrauto" Newsgroups: fr.comp.securite.virus Sent: Wednesday, September 17, 2003 12:18 PM Subject: Re: qui peut me donner le nom de celui-ci ?
Antoine B wrote:
Bonjour, Je suis infecté par quelquechose qui a ces caractéristiques : au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone dans la barre des taches est l'icone generalement utilisée pour l'installation d'un programme (ordi+disquettes à côté). si j'accepte cette connection, il se connecte effectivement et tente d'envoyer un message à l'adresse Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses. Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980 J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre. (j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant
que j'étais infecté ) Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance: Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ? Merci d'avance @
"xtrauto" <xtrauto@hotmail.com> a écrit dans le message de
news:3F6834FC.6080808@hotmail.com...
Antoine B wrote:
Bonjour,
Je suis infecté par quelquechose qui a ces caractéristiques :
au démarrage de windows (XP), il m'ouvre une fenetre de connexion à
internet
dont l'icone
dans la barre des taches est l'icone generalement utilisée pour
l'installation d'un programme (ordi+disquettes à côté).
si j'accepte cette connection, il se connecte effectivement et tente
d'envoyer un message à l'adresse eastsidesoccer2000@yahoo.ca
Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre
delivré à cause d'un quota dépassé sur le serveur
mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses.
Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1,
correctif
823980
J'ai passé la nuit à comparer les effets d'infection de virus connus
chez
symantec avec mes propres clés de registre.
(j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run
croyant
que j'étais infecté W32.Xau@mm)
Sans parler des 3 scans complets du système + des essais du stinger de
chez
Mc Affee ...
Un détail qui a son importance:
Quand je sélectionne la fenetre de connexion du virus dans le
taskmanager et
que je demande le process correspondant, il me montre un svchost.exe
lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je
peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ?
Merci d'avance
@
----- Original Message -----
From: "xtrauto" <xtrauto@hotmail.com>
Newsgroups: fr.comp.securite.virus
Sent: Wednesday, September 17, 2003 12:18 PM
Subject: Re: qui peut me donner le nom de celui-ci ?
Antoine B wrote:
Bonjour,
Je suis infecté par quelquechose qui a ces caractéristiques :
au démarrage de windows (XP), il m'ouvre une fenetre de connexion à
internet
dont l'icone
dans la barre des taches est l'icone generalement utilisée pour
l'installation d'un programme (ordi+disquettes à côté).
si j'accepte cette connection, il se connecte effectivement et tente
d'envoyer un message à l'adresse eastsidesoccer2000@yahoo.ca
Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre
delivré à cause d'un quota dépassé sur le serveur
mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses.
Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1,
correctif
823980
J'ai passé la nuit à comparer les effets d'infection de virus connus
chez
symantec avec mes propres clés de registre.
(j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run
croyant
que j'étais infecté W32.Xau@mm)
Sans parler des 3 scans complets du système + des essais du stinger de
chez
Mc Affee ...
Un détail qui a son importance:
Quand je sélectionne la fenetre de connexion du virus dans le
taskmanager et
que je demande le process correspondant, il me montre un svchost.exe
lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je
peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ?
Merci d'avance
@
Bonjour, Je suis infecté par quelquechose qui a ces caractéristiques : au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone dans la barre des taches est l'icone generalement utilisée pour l'installation d'un programme (ordi+disquettes à côté). si j'accepte cette connection, il se connecte effectivement et tente d'envoyer un message à l'adresse Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses. Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980 J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre. (j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant
que j'étais infecté ) Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance: Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ? Merci d'avance @
----- Original Message ----- From: "xtrauto" Newsgroups: fr.comp.securite.virus Sent: Wednesday, September 17, 2003 12:18 PM Subject: Re: qui peut me donner le nom de celui-ci ?
Antoine B wrote:
Bonjour, Je suis infecté par quelquechose qui a ces caractéristiques : au démarrage de windows (XP), il m'ouvre une fenetre de connexion à internet
dont l'icone dans la barre des taches est l'icone generalement utilisée pour l'installation d'un programme (ordi+disquettes à côté). si j'accepte cette connection, il se connecte effectivement et tente d'envoyer un message à l'adresse Norton me scanne le départ de ce message et m'indique qu'il n'a pu etre delivré à cause d'un quota dépassé sur le serveur mta112.mail.scd.yahoo.com.
J'y suis depuis 2 jours et j'ai essayé beaucoup de choses. Au niveau config : NAV 2003 mis à jour TRES regulierement, XP SP1, correctif
823980 J'ai passé la nuit à comparer les effets d'infection de virus connus chez
symantec avec mes propres clés de registre. (j'en ai meme supprimé une CTFMON.EXE dans hkey current user....run croyant
que j'étais infecté ) Sans parler des 3 scans complets du système + des essais du stinger de chez
Mc Affee ...
Un détail qui a son importance: Quand je sélectionne la fenetre de connexion du virus dans le taskmanager et
que je demande le process correspondant, il me montre un svchost.exe lancé
par l'utilisateur courant.
Autre détail : si je ferme cette fenetre de connexion à 4 reprises, je peux
me connecter de façon normale
Savez-vous de quoi il s'agit ? un virus, un spy ... ? Merci d'avance @
