TK5NN infecté a priori...

inforadio <inforadio> a cru bon de raconter en ce si beau jour
news:9r2h10loae9tl10aqilmtotp3jglg0o5kc@4ax.com:

Le Wed, 28 Jan 2004 21:12:51 +0100, Didier <dfg@free.fr> a ecrit:

Quant a l'initiateur du thead, il n'a meme pas compris de TK5NN n'était
pas l'emetteur et que toutes les entetes d'origine étaient "forgées".

En effet, c'est le cas de certains virus, mais comme avec vos
remarques sur ma BAA "filtre passe-haut", vous etes encore
a coté de la plaque...

Pas grave, on a l'habitude...

;)

Sinon, pour ASK, vu pout SPYBOT :
Non, l'antivirus detecte bien le virus, SPYBOT, je l'ai evidemment
lancé en scanning mais l'antivirus avait tout supprimé.

Merci, c'est l'intention qui compte de toute facon,

:)

Non, il ya erreur : Spybot - Search & Destroy n'est pas un virus mais un
logiciel pour erradiquer les "spywares", autrement dit les "mouchards" qui
connectent le système à des sites qui diffusent ainsi leur pub sous forme de
message pop-up.



--
Globern.
"Si Adrien est venu chez moi, je n'y étais pas. S'il vient, ce sera avec
plaisir, puisque c'est un ami."
Fluxuscrelat in news:bitflh$cfp$1@news-reader3.wanadoo.fr 31/08/2003

<inforadio> a écrit dans le message de
news:9r2h10loae9tl10aqilmtotp3jglg0o5kc@4ax.com...

Le Wed, 28 Jan 2004 21:12:51 +0100, Didier <dfg@free.fr> a ecrit:

>
>Quant a l'initiateur du thead, il n'a meme pas compris de TK5NN

n'était pas

>l'emetteur et que toutes les entetes d'origine étaient "forgées".
>

En effet, c'est le cas de certains virus, mais comme avec vos
remarques sur ma BAA "filtre passe-haut", vous etes encore
a coté de la plaque...

Pas grave, on a l'habitude...

;)

Je vais parodier le professeur Escandres qui déclarait, il y a deux
jours, à propos du cyclisme
et du dopage :

"Ceux qui se font prendre sont soit des débutants, soit des imbéciles"

Il en est de même pour les virus !
--
Jack

inforadio a couché sur son écran :

Bonjour,

je viens de recevoir un email de TK5NN (chez radioamateur.org) dont le
titre est vide avec le texte "Mail transaction failed. Partial message
is available".

tien mr je sais tout montre sa science
pauvre naze, va lire un peu les effects des virus qui se tranmettent
par mail
La premiere chose qu'il font c'est prendre un mail du carnet d'adresse
et se faire passer pour lui

mais bon, comme tu sais tout ca doit etre vrais, tk5nn est surement
infecté, ptétre des restes de grippe ?

ce qui est sur c'est que t'est un bon RA, bien tachon comme y faut

--
http://cerbermail.com/?gk2oZMEFoC

Oui avec le DOS 6.22 c'est aussi bon !!

"Philippe" <ximianspam@free.fr> a écrit dans le message de
news:pan.2004.01.28.20.07.20.194881@free.fr...

> J'ai reçu 17 alertes en 2 jours et j'en reçois encore au moins 1 par

heure

> actuellement.

Moi pas une seule : provider efficace plus OS Linux... Meilleur
qu'un anti-virus :-)

Toi aussi tu t'es fait prendre Attila de mes deux...
Comme Tabarly qui disait un mec qui tombe n'a rien à faire sur un
bateau...bien avancé maintenant !

"Jacques" <f1xxx@f1xxx.org> a écrit dans le message de
news:bvag9g$c20$1@news-reader2.wanadoo.fr...

<inforadio> a écrit dans le message de
news:9r2h10loae9tl10aqilmtotp3jglg0o5kc@4ax.com...
> Le Wed, 28 Jan 2004 21:12:51 +0100, Didier <dfg@free.fr> a ecrit:
>
> >
> >Quant a l'initiateur du thead, il n'a meme pas compris de TK5NN
n'était pas
> >l'emetteur et que toutes les entetes d'origine étaient "forgées".
> >
>
> En effet, c'est le cas de certains virus, mais comme avec vos
> remarques sur ma BAA "filtre passe-haut", vous etes encore
> a coté de la plaque...
>
> Pas grave, on a l'habitude...
>
> ;)

Je vais parodier le professeur Escandres qui déclarait, il y a deux
jours, à propos du cyclisme
et du dopage :

"Ceux qui se font prendre sont soit des débutants, soit des imbéciles"

Il en est de même pour les virus !
--
Jack

Moi je direz plutot de ne aps effacer le .exe regarder ceci :

Si ce fichier est exécuté, le bloc-note Windows s'ouvre avec du texte
aléatoire pour faire diversion, le virus se copie dans le répertoire Système
de Windows sous le nom TASKMON.EXE (un fichier système de Windows 95/98/Me
porte le même nom : il ne faut en aucun cas supprimer un fichier du seul
fait de son nom, mais confirmer l'infection avec un antivirus), modifie la
base de registres pour s'exécuter automatiquement à chaque démarrage de
l'ordinateur, puis s'envoie aux correspondants dont les adresses figurent
dans le carnet d'adresses Windows ainsi que divers autres fichiers (.adb,
.tbb, .dbx, .asp, .php, .sht, .htm et .txt) en utilisant comme adresse
d'expéditeur une adresses choisie aléatoirement parmi celles récoltées sur
le disque dur de la victime ou en forgeant une fausse adresse.

Novarg installe une backdoor SHIMGAPI.DLL dans le répertoire Système
qui autorise le téléchargement et l'exécution de programmes hostiles ou la
prise de contrôle à distance via le port TCP 3127 à 3198, injecte cette DLL
dans le fichier système EXPLORER.EXE et le cas échéant se copie sous divers
noms aguicheurs dans le répertoire partagé via KaZaA :

--
--------------------------------------------------------------------
Les fautes d'orthographes sus-citées sont déposées auprès de leurs
propriétaires respectifs.
Aucune responsabilité n'est engagée sur la lisibilité du message ou les
éventuels dommages qu'ils peuvent engendrer
-------------------------------------------------------------------
<inforadio> a écrit dans le message de news:
tone10l8qef0hjjdc131f526jk43tdaisa@4ax.com...

Bonjour,

je viens de recevoir un email de TK5NN (chez radioamateur.org) dont le
titre est vide avec le texte "Mail transaction failed. Partial message
is available".

J'espere que vous n'avez pas cliqué dessus par "erreur"... Si c'est le
cas, vous pouvez supprimer TASKMON.EXE et le fichier SHIMGAPI.DLL.

Au fait, pour ceux qui utilisent le meme antivirus que moi, il ne voit
rien car ce n'est pas vraiment un virus mais un mouchard qui va se
connecter au net. En fai- sant un scanning avec l'antivirus, il le
trouve mais il n'arrivera pas a suppri- mer SHIMGAPI.DLL. Pour
supprimer ce fichier, si il vous resiste, passez sous DOS et allez
dans le repertoire WINDOWSSYSTEM . Un bon DEL fera l'affaire.

Et comment je sais cela ..? Ben simple, je n'ai pas suivi les conseils
de mon site http://inforadio.free.fr , ce matin, une etourderie a vou-
lu que je clique sur une piece jointe (il s'appelait texte.scr) et le
script s'est bel et bien affiché au format texte avec notepad. Mais a
priori, au demarrage de mon PC, j'ai vu le disque dur qui avait une ac
tivité soutenue apres la fin du demarrage des programmes... A la pre-
miere connexion au net, TASKMON s'est mis a vouloir se connecter sur
un site... (de suite signalé par KERIO)

Bref, j'ai donc lancé un scan a l'antivirus qui a vu cette fois-ci que
les deux fichiers en question n'etaient pas trop sympathique.

Bref, dans ce cas concret, on voit que deux barrieres ont ete franchi
par le virus : le cerveau de l'operateur et l'antivirus mais que les
autres protections ont permis de se rendre compte du probleme dans la
foulée (avec remise en fonction du cerveau endormi...).

En conclusion, si vous trouvez le fichier SHIMGAPI.DLL, vous etes sans
doute infecté...

73's

PS : Je tends le baton pour me faire battre avec les "amis" que j'ai
ici mais RAB, le but est juste d'avertir les collegues. Ne jamais
baisser sa vigilance...

Le Wed, 28 Jan 2004 23:26:18 +0100, "Christian THOMAS" <f5rmxPasdePub@NOSPAM.org> a ecrit:

C'est vrai que c'est hors sujet.

En effet, c'est hors sujet... Mais tu sais bien que F6BSW m'aime
bien depuis des annees (rancunier? Possible...). Bref, en effet,
je n'ai pas verifier l'entete de l'email recu. Il se peut que cela
ne soit pas TK5NN mais de toute facon, le but etait de prevenir
les lecteurs car une chose de sur, c'est qu'un radioamateur
est forcement infecté vu le type d'adresse qu'utilise le virus
qui se fournit dans le carnet d'adresse...

Alors, vu qu'il y a des radioamateurs sur cette liste, il est
bon de faire la verification au moins de la presence du
fichier dont je parle... Cela ne coute rien.

On ne chope pas un virus informatique en allant sur un site douteux, mais en
ouvrant dans 99% des cas une pièce attachée à un mail.

Cela depend de la facon dont on navigue... Plus on navigue et
plus les chances augmentent. Par email, c'est visible, on
voit la piece jointe, il suffit de ne pas cliquer dessus (a condition
evidemment de ne pas avoir une version d'Outlook a la noix, si
ca existe...).

Moi, c'est en navigant sur le net que je recuperais le plus de
truc en tout genre et contrairement aux idees recues, ce
n'est pas forcement en allant sur des sites dit "douteux"...

Le truc qui m'a le plus enquiquiné, ce fut un dialer qui revenait
regulierement. C'etait une application en JAVASCRIPT (de memoire)
qui remplacait le DIALER.EXE de Windows. Si on ne fait pas attention,
on peut vite se retrouver avec une connexion a plus d'un euro la
minute... (pour ceux qui sont encore comme moi en RTC, bien sur...).

Je n'arrivais pas a bloquer cette cochonnerie a cause d'Internet Explorer :
En fait le dialer utilisait des fonctions de IE pour s'installer en douce, comme
IE etait autorisé par le firewall, il ne bronchait pas.
L'antivirus quant a lui ne bronchait pas non plus puisque ce n'est pas un
virus...
La solution a ete fort simple : Ne plus utiliser IE en le bloquant au niveau du
firewall (ne surtout pas le desinstaller, des programmes s'en servent en
local...) et placer MOZILLA FIREBIRD (uniquement le navigateur de Mozilla)
que vous n'aurez pas de peine a trouver par www.google.fr . J'ai noté au
passage que ce programme etait long au lancement avec 64 Mo de RAM,
il vaudrait mieux 128 Mo mini ou là, c'est correct.

Depuis plusieurs mois d'utilisation de MOZILLA FIREBIRD, je n'ai plus
aucun soucis : Ce programme est tellement simple qu'il ne permet pas
certaines fonctions de toute facon non indispensables... L'ergonomie
du logiciel est comparable a celle de CRASY BROWSER pour ceux qui
le connaisse (mais CRASY BROWSER utilise IE...). Bref, il est, amha,
plus sympathique.

Maintenant, vous pouvez toujours l'essayer quitte a le desinstaller
ensuite, cela ne mange pas de pain, il ne met pas trop la zone ni
au niveau de Windows, ni dans la BDR.

Si j'ai tenu à parler de çà ici, c'est qu'un nombre très important de
radioamateurs de mon département ont été pollué par un virus ses dernières
48h. Je sais même que certains ont reçu des mails de mon adresse E-Mail

Oui, avec la mienne aussi puisque j'ai recu des "undelivered mail" de messages
que je n'ai pas envoyés. D'ailleurs, a ce sujet, je n'utilise pas Outlook pour les
emails, cela permet justement d'eviter d'envoyer des emails sans le savoir...

Bref, je detaille tout ceci sur http://www.chez.com/protect_virus.htm
du site http://inforadio.free.fr

Si c'est "hors charte", F6BSW n'a qu'a me placer dans sa boite a plonk,
ca lui fera des vacances...

;)

Je reviens au bout de deux jours, je suis sur qu'il a du repondre lorsque
je lui ai tenu tete dans le thread precedent concernant la personne verollée...
C'est pour entretenir sa bile gastrique...

;)

Salut aux gens normaux !
73's

inforadio a écrit:

Le Wed, 28 Jan 2004 23:26:18 +0100, "Christian THOMAS" <f5rmxPasdePub@NOSPAM.org> a ecrit:

Alors, vu qu'il y a des radioamateurs sur cette liste, il est
bon de faire la verification au moins de la presence du
fichier dont je parle... Cela ne coute rien.

Vous vous êtes fait "chaudement" reprendre sur la liste ATV pour moins que cela
et pourtant il n'y a que des radioamateurs. Usenet a des règles que
manifestement vous n'êtes pas capable d'intégrer.
Heureux les simples d'esprit...

DF

<inforadio> a écrit dans le message de
news:bq4h105s47f11qsslmig03vlah5298po6b@4ax.com...

Le Wed, 28 Jan 2004 23:26:18 +0100, "Christian THOMAS"

<f5rmxPasdePub@NOSPAM.org> a ecrit:

>
> C'est vrai que c'est hors sujet.
>

En effet, c'est hors sujet... Mais tu sais bien que F6BSW m'aime
bien depuis des annees (rancunier? Possible...). Bref, en effet,
je n'ai pas verifier l'entete de l'email recu. Il se peut que cela
ne soit pas TK5NN mais de toute facon, le but etait de prevenir
les lecteurs car une chose de sur, c'est qu'un radioamateur
est forcement infecté vu le type d'adresse qu'utilise le virus
qui se fournit dans le carnet d'adresse...

et pas que là :
Il recherche des adresses électroniques dans les fichiers aux extensions
précisées ci-dessous.

a.. .htm
b.. .sht
c.. .php
d.. .asp
e.. .dbx
f.. .tbb
g.. .adb
h.. .pl
i.. .wab
j.. .txt

k.. source libertysurf .... pour une fois !!
l.. lien de toute la page intéressante :
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.novarg.a@mm.html
--
zrmt

73

>
Attention au infos que tu donnes, meme si un OM clique sur un message
vide ce n'est pas obligatoirement le fichier en question que tu nous
signale, chez moi je n'est pas clique sur un fichier vide et pourtant
je viens de faire une recherche et j'ai bien un fichier du nom
TASKMON.EXE , je ne vois aucune raison de supprimer ce fichier qui
risque en le supprimant de me faire plus de mal que de bien
!!!..........

Un OM qui se reconnaitra m'a repondu ceci (salut au passage), je vais
donc faire quelque complement a mon envoi precedent. J'ai d'ailleurs
une petite precision a apporter. Il est vrai que je n'ai pas regardé
l'entete. Ce n'est pas forcement TK5NN qui est victime d'un virus mais
une personne ayant dans son carnet d'adresse l'adresse de TK5NN. Le
virus en question est arrivé ici sous diverses adresses radioamateur,
notamment plusieurs sous @radioamateur.org . Bref, si vous avez au
moins TK5NN dans votre carnet d'adresse, vous etes concerné... Enfin,
meme si vous ne l'avez pas de toute facon, hi...

Attention de ne pas interpreté de travers mon envoi, j'indique que si
vous avez dans votre repertoire le fichier SHIMGAPI.DLL , c'est que
vous etes verollé. Ce fichier n'appartient en aucun cas a Windows.

Dans ce cas et seulement dans ce cas, votre fichier TASKMON.EXE n'est
plus celui d'origine : Il a ete effacé et remplacé par un nouveau
TASKMON.EXE qui est un logiciel mouchard.

A partir de la, il faut en effet supprimer TASKMON.

TASKMON n'est pas un fichier indispensable de toute facon. De mon
coté, je ne l'ai meme pas restauré. J'effectue pour ma part des GHOST
reguliers de ma config ce qui me permet de me passer avantageusement
des outils de Windows (de memoire, il me semble que TASKMON effectue
notamment une archive de la base de registres au demarrage, inutile si
l'on a des sauvegardes GHOST regulieres).

Pour ceux qui veulent replacer TASKMON.EXE dans Windows par la
suite, il vous suffit de le restaurer a partir de votre CD
d'installation de Windows.

Sous Win98, il faut effectuer la manip' suivante :

DEMARRER > EXECUTER >

puis frapper : SFC <enter>

Vous selectionnez "extraire un fichier a partir du disque
d'installation" et vous specifiez le fichier systeme a restaurer,
ici TASKMON.EXE.

Pour Win Xp, cela serait sympa qu'une personne disposant de Xp
detaille la manipulation dans la mesure ou je n'ai pas Xp ici.
Maintenant, si vous recherchez cette manipulation, vous pourrez
notamment la trouver via mon site http://inforadio.free.fr dans
l'onglet forum : Dans l'onglet "INFORMATIQUE", j'ai placé un lien vers
le forum de Xp.

Voila, je pense avoir levé l'ambiguité de mon post precedent.

73's