Tout d'abord je ne suis pas un pro de l'info, donc veuillez pardonner
les grossièretés que je pourrai (que j'ai déjà ??) écrire.
Il semblerait que mon PC (sous XP), soit infecté par le virus (ou ver
...) VBS.neokiller.A, transmis par un cookie "ramassé" il y a deux
jours. C'est en tout cas ce qu'a diagnostiqué BitDefender (d'ailleurs
mis à jour juste avant de chopper ce fameux tueur des temps nouveaux).
J'ai supprimé ce fichier infecté.
Les symptômes :
-Le PC rame complètement, et l'UC (pareil que CPU ?) est chargée à 100%
en permanence (d'après TaskManager)
-Il semblerait qu'un processus cart322.exe (présent dans system32, et
ayant modifié une clé de la base de registres), soit en cause. Lorsque
je le stoppe, il redémarre instantanément ...
-Un certain nombre de processus (5 ou 6) svchost tournent aussi
simultanément et ont l'air de bouffer de la mémoire, mais ceci est
peut-être parfaitement normal ... D'ailleurs, en en supprimant un, j'ai
le droit au fameux message "Autorité NT/RPC" éteignant le PC après une
minute.
Merci de m'aider si vous avez le temps (pliz). J'ai cherché sur pas mal
de sites antivirus sans trouver de solution.
A+
Yohann, désolé pour cette longue news, mais qui a voulu être précis.
Quel manque d'éducation, non mais franchement. ;-)
En plus tu l'avais posté avant mais j'avais pas rechargé :-x
"Joey is alive" le fait brailler aussi?
Joey était l'un des frères Ramones, et il braillait aussi :)
-- joke0
Roland Garcia
C'est bien la première fois que j'ai une alerte en parcourant des messages de NG!
MDR. Visiblement, comme noté par les autres intervenants, NAV fait une recherche sur certains mots de ma réponse, qui contient le contenu d'un vers en VBS (heu, commenté le vers, pas fonctionnel !). Sans doute le mot NEOKILLER ? C'est à se tordre de rire quand même.
Heu, je ne fais que très très rarement de commentaires sur les AVs, mais là, heu, comment dire :o) ? Bref...
De simples commentaires en mode texte, NAV pourrait au moins tenir compte des contextes :-(
Roland Garcia
C'est bien la première fois que j'ai une alerte en parcourant des
messages de NG!
MDR. Visiblement, comme noté par les autres intervenants, NAV fait une
recherche sur certains mots de ma réponse, qui contient le contenu d'un vers
en VBS (heu, commenté le vers, pas fonctionnel !). Sans doute le mot
NEOKILLER ? C'est à se tordre de rire quand même.
Heu, je ne fais que très très rarement de commentaires sur les AVs, mais là,
heu, comment dire :o) ? Bref...
De simples commentaires en mode texte, NAV pourrait au moins tenir
compte des contextes :-(
C'est bien la première fois que j'ai une alerte en parcourant des messages de NG!
MDR. Visiblement, comme noté par les autres intervenants, NAV fait une recherche sur certains mots de ma réponse, qui contient le contenu d'un vers en VBS (heu, commenté le vers, pas fonctionnel !). Sans doute le mot NEOKILLER ? C'est à se tordre de rire quand même.
Heu, je ne fais que très très rarement de commentaires sur les AVs, mais là, heu, comment dire :o) ? Bref...
De simples commentaires en mode texte, NAV pourrait au moins tenir compte des contextes :-(
Roland Garcia
Yohann RICO
AMcD wrote:
Il te suffit :
1) D'effacer le fichier neokiller.vbs dans le répertoire système. 2) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 3) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINE
A+
Salut,
Comme j'imagine que certains se disaient déjà "lui on lui a réglé son pb, il s'est barré et on le reverra plus. C'est pas grave, ça devait être un c**.", je vous indique juste que les conseils ci-dessus ont fonctionné, en remplaçant neokiller.vbs par cart322.exe (ce qui doit être la différence entre version normale et version.A), et en cherchant et supprimant toutes les lignes relatives à cart322 dans le registre.
Merci à tous ceux qui se sont penchés sur le problème d'un gars qui y connaît rien. Sympa les gars (et les filles, avec les pseudos je peux me tromper .-) ).
A+
Yo
AMcD wrote:
Il te suffit :
1) D'effacer le fichier neokiller.vbs dans le répertoire système.
2) De supprimer la valeur NEOKILLER dans
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
3) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINE
A+
Salut,
Comme j'imagine que certains se disaient déjà "lui on lui a réglé son
pb, il s'est barré et on le reverra plus. C'est pas grave, ça devait
être un c**.", je vous indique juste que les conseils ci-dessus ont
fonctionné, en remplaçant neokiller.vbs par cart322.exe (ce qui doit
être la différence entre version normale et version.A), et en cherchant
et supprimant toutes les lignes relatives à cart322 dans le registre.
Merci à tous ceux qui se sont penchés sur le problème d'un gars qui y
connaît rien. Sympa les gars (et les filles, avec les pseudos je peux me
tromper .-) ).
1) D'effacer le fichier neokiller.vbs dans le répertoire système. 2) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 3) De supprimer la valeur NEOKILLER dans HKEY_LOCAL_MACHINE
A+
Salut,
Comme j'imagine que certains se disaient déjà "lui on lui a réglé son pb, il s'est barré et on le reverra plus. C'est pas grave, ça devait être un c**.", je vous indique juste que les conseils ci-dessus ont fonctionné, en remplaçant neokiller.vbs par cart322.exe (ce qui doit être la différence entre version normale et version.A), et en cherchant et supprimant toutes les lignes relatives à cart322 dans le registre.
Merci à tous ceux qui se sont penchés sur le problème d'un gars qui y connaît rien. Sympa les gars (et les filles, avec les pseudos je peux me tromper .-) ).
A+
Yo
AMcD
joke0 wrote:
"Joey is alive" le fait brailler aussi?
Joey était l'un des frères Ramones, et il braillait aussi :)
Commentaire lamentable qui ne peut venir que d'un profane en la matière !
1) Les ramones n'étaient pas frères. 2) Joey ne bramait pas (comparé a Dee Dee ou à ce que j'écoute actuellement...). 3) Eddie lives est une référence à Iron Maiden.
-- AMcD - Gabba Gabba Hey !
http://arnold.mcdonald.free.fr/
joke0 wrote:
"Joey is alive" le fait brailler aussi?
Joey était l'un des frères Ramones, et il braillait aussi :)
Commentaire lamentable qui ne peut venir que d'un profane en la matière !
1) Les ramones n'étaient pas frères.
2) Joey ne bramait pas (comparé a Dee Dee ou à ce que j'écoute
actuellement...).
3) Eddie lives est une référence à Iron Maiden.
Joey était l'un des frères Ramones, et il braillait aussi :)
Commentaire lamentable qui ne peut venir que d'un profane en la matière !
1) Les ramones n'étaient pas frères. 2) Joey ne bramait pas (comparé a Dee Dee ou à ce que j'écoute actuellement...). 3) Eddie lives est une référence à Iron Maiden.
-- AMcD - Gabba Gabba Hey !
http://arnold.mcdonald.free.fr/
Tweakie
On Wed, 26 Nov 2003, Frederic Bonroy wrote:
J'ai l'impression que ce brave Norton, eh ben... ce n'est pas la première fois qu'on lui trouve des trucs à redire dans le domaine de la détection...
Pour etre honnete, il n'y a pas que Norton qui soit un peu leger, sur ce coup la : J'ai copie' le message d'Arnold dans un fichier texte sous 3 formes : avec entetes, sans entetes, en laissant juste le code du vers. J'ai scanne' avec Norman et un FProt 3.14b, puis j'ai change' l'extension de .txt a .vbs et j'ai reitere' l'operation :
Avec Norman, les versions "sans entete" et "code seulement" sont reconnues comme etant Ver:VBS/SSIWG_based, que l'extension soit .vbs ou .txt - Curieusement, la version avec entete ne declenche pas d'alerte.
F-Prot declare l'ensemble des .vbs "suspicious", et n'en identifie aucun. Voila l'alerte :
D:TMPTOTO.VBS could be a mass-mailing worm
Il ne detecte les .txt que lors d'un "dumb" scan, ce qui est logique...
Vous pourriez tenter l'experience avec d'autres AVs ?
-- Tweakie
On Wed, 26 Nov 2003, Frederic Bonroy wrote:
J'ai l'impression que ce brave Norton, eh ben... ce n'est pas la
première fois qu'on lui trouve des trucs à redire dans le domaine de la
détection...
Pour etre honnete, il n'y a pas que Norton qui soit un peu leger, sur
ce coup la :
J'ai copie' le message d'Arnold dans un fichier texte sous 3 formes :
avec entetes, sans entetes, en laissant juste le code du vers.
J'ai scanne' avec Norman et un FProt 3.14b, puis j'ai change' l'extension
de .txt a .vbs et j'ai reitere' l'operation :
Avec Norman, les versions "sans entete" et "code seulement"
sont reconnues comme etant Ver:VBS/SSIWG_based, que l'extension
soit .vbs ou .txt - Curieusement, la version avec entete ne declenche
pas d'alerte.
F-Prot declare l'ensemble des .vbs "suspicious", et n'en identifie
aucun. Voila l'alerte :
D:TMPTOTO.VBS could be a mass-mailing worm
Il ne detecte les .txt que lors d'un "dumb" scan, ce qui est
logique...
Vous pourriez tenter l'experience avec d'autres AVs ?
J'ai l'impression que ce brave Norton, eh ben... ce n'est pas la première fois qu'on lui trouve des trucs à redire dans le domaine de la détection...
Pour etre honnete, il n'y a pas que Norton qui soit un peu leger, sur ce coup la : J'ai copie' le message d'Arnold dans un fichier texte sous 3 formes : avec entetes, sans entetes, en laissant juste le code du vers. J'ai scanne' avec Norman et un FProt 3.14b, puis j'ai change' l'extension de .txt a .vbs et j'ai reitere' l'operation :
Avec Norman, les versions "sans entete" et "code seulement" sont reconnues comme etant Ver:VBS/SSIWG_based, que l'extension soit .vbs ou .txt - Curieusement, la version avec entete ne declenche pas d'alerte.
F-Prot declare l'ensemble des .vbs "suspicious", et n'en identifie aucun. Voila l'alerte :
D:TMPTOTO.VBS could be a mass-mailing worm
Il ne detecte les .txt que lors d'un "dumb" scan, ce qui est logique...
Vous pourriez tenter l'experience avec d'autres AVs ?
-- Tweakie
joke0
Salut,
AMcD:
Commentaire lamentable qui ne peut venir que d'un profane en la matière !
Exactement! Je n'aime pas trop bien que la reprise "psychotherapy" par Skid Row soit excellente.
1) Les ramones n'étaient pas frères.
En fait, ils sont "frères", j'ai été eu :-(
2) Joey ne bramait pas (comparé a Dee Dee ou à ce que j'écoute actuellement...).
C'était pour faire un jeu de mot...pfff! ;-)
3) Eddie lives est une référence à Iron Maiden.
Là c'est déjà plus mon terrain.
fu2 poster (voire fu2 fr.rec.musique.rock ?)
-- joke0
Salut,
AMcD:
Commentaire lamentable qui ne peut venir que d'un profane en
la matière !
Exactement! Je n'aime pas trop bien que la reprise
"psychotherapy" par Skid Row soit excellente.
1) Les ramones n'étaient pas frères.
En fait, ils sont "frères", j'ai été eu :-(
2) Joey ne bramait pas (comparé a Dee Dee ou à ce que j'écoute
actuellement...).
Commentaire lamentable qui ne peut venir que d'un profane en la matière !
Exactement! Je n'aime pas trop bien que la reprise "psychotherapy" par Skid Row soit excellente.
1) Les ramones n'étaient pas frères.
En fait, ils sont "frères", j'ai été eu :-(
2) Joey ne bramait pas (comparé a Dee Dee ou à ce que j'écoute actuellement...).
C'était pour faire un jeu de mot...pfff! ;-)
3) Eddie lives est une référence à Iron Maiden.
Là c'est déjà plus mon terrain.
fu2 poster (voire fu2 fr.rec.musique.rock ?)
-- joke0
Philippe Legros
Bonsoir, et merci pour la réponse! Cette histoire me semblait un peu loufoque!
[couic]
Sigghh.... Un Norton tout neuf.... Et ma première bestiole (sur mon ordi preso, depuis des annèes), et qui en plus n'en n'est pas une :-(((
Heu, je ne fais que très très rarement de commentaires sur les AVs, mais là,
heu, comment dire :o) ? Bref...
P'têt ben que j'aurais du venir faire un tour ici, avant de ne plus renouveller mon ancien AV pour Norton, mais, miss (?) Tweakie relativise un peu les choses...
<OT> En tout cas, cela m'a donné l'occasion d'aller faire un tour dans le répertoire ...CONTENT.IE5: 13371 fichiers. Il y a du ménage à faire! </OT> -- PhL (Sautez le pas pour me répondre)
Bonsoir, et merci pour la réponse! Cette histoire me semblait un peu
loufoque!
[couic]
Sigghh.... Un Norton tout neuf.... Et ma première bestiole (sur mon ordi
preso, depuis des annèes), et qui en plus n'en n'est pas une :-(((
Heu, je ne fais que très très rarement de commentaires sur les AVs, mais
là,
heu, comment dire :o) ? Bref...
P'têt ben que j'aurais du venir faire un tour ici, avant de ne plus
renouveller mon ancien AV pour Norton, mais, miss (?) Tweakie relativise un
peu les choses...
<OT>
En tout cas, cela m'a donné l'occasion d'aller faire un tour dans le
répertoire ...CONTENT.IE5: 13371 fichiers. Il y a du ménage à faire!
</OT>
--
PhL (Sautez le pas pour me répondre)
Bonsoir, et merci pour la réponse! Cette histoire me semblait un peu loufoque!
[couic]
Sigghh.... Un Norton tout neuf.... Et ma première bestiole (sur mon ordi preso, depuis des annèes), et qui en plus n'en n'est pas une :-(((
Heu, je ne fais que très très rarement de commentaires sur les AVs, mais là,
heu, comment dire :o) ? Bref...
P'têt ben que j'aurais du venir faire un tour ici, avant de ne plus renouveller mon ancien AV pour Norton, mais, miss (?) Tweakie relativise un peu les choses...
<OT> En tout cas, cela m'a donné l'occasion d'aller faire un tour dans le répertoire ...CONTENT.IE5: 13371 fichiers. Il y a du ménage à faire! </OT> -- PhL (Sautez le pas pour me répondre)
Philippe Legros
J'ai l'impression que ce brave Norton, eh ben... ce n'est pas la première fois qu'on lui trouve des trucs à redire dans le domaine de la détection...
A tout prendre, et si cela n'arrive pas trop souvent, je préfère une fausse alerte à un virus (au sens large...) qui passerait NAV. Quoique, AV ou pas AV, je n'en ai jamais eu sur mes PCs. Chanceux, ou seulement prudent?
Merci! -- PhL (Sautez le pas pour me répondre)
J'ai l'impression que ce brave Norton, eh ben... ce n'est pas la
première fois qu'on lui trouve des trucs à redire dans le domaine de la
détection...
A tout prendre, et si cela n'arrive pas trop souvent, je préfère une fausse
alerte à un virus (au sens large...) qui passerait NAV. Quoique, AV ou pas
AV, je n'en ai jamais eu sur mes PCs. Chanceux, ou seulement prudent?
J'ai l'impression que ce brave Norton, eh ben... ce n'est pas la première fois qu'on lui trouve des trucs à redire dans le domaine de la détection...
A tout prendre, et si cela n'arrive pas trop souvent, je préfère une fausse alerte à un virus (au sens large...) qui passerait NAV. Quoique, AV ou pas AV, je n'en ai jamais eu sur mes PCs. Chanceux, ou seulement prudent?
Merci! -- PhL (Sautez le pas pour me répondre)
Frederic Bonroy
Avec Norman, les versions "sans entete" et "code seulement" sont reconnues comme etant Ver:VBS/SSIWG_based, que l'extension soit .vbs ou .txt - Curieusement, la version avec entete ne declenche pas d'alerte.
Ça me semble normal. S'il y a les entêtes, le fichier est sans doute reconnu comme un message. Dans ce cas Norman fait bien la différence entre le text/plain et le text/html, ce dernier étant le seul à pouvoir comporter du VBS actif. S'il y avait uniquement les entêtes "standard" (De:, Forum:, Date:, Objet:) alors c'est considéré comme du text/plain. Enfin, c'est ce que je ferais à moins de découvrir des balises HTML.
F-Prot declare l'ensemble des .vbs "suspicious", et n'en identifie aucun.
Peut-être pour dire "il y a du code néfaste là-dedans".
Avec Norman, les versions "sans entete" et "code seulement"
sont reconnues comme etant Ver:VBS/SSIWG_based, que l'extension
soit .vbs ou .txt - Curieusement, la version avec entete ne declenche
pas d'alerte.
Ça me semble normal. S'il y a les entêtes, le fichier est sans doute
reconnu comme un message. Dans ce cas Norman fait bien la différence
entre le text/plain et le text/html, ce dernier étant le seul à pouvoir
comporter du VBS actif.
S'il y avait uniquement les entêtes "standard" (De:, Forum:, Date:,
Objet:) alors c'est considéré comme du text/plain. Enfin, c'est ce que
je ferais à moins de découvrir des balises HTML.
F-Prot declare l'ensemble des .vbs "suspicious", et n'en identifie
aucun.
Peut-être pour dire "il y a du code néfaste là-dedans".
Avec Norman, les versions "sans entete" et "code seulement" sont reconnues comme etant Ver:VBS/SSIWG_based, que l'extension soit .vbs ou .txt - Curieusement, la version avec entete ne declenche pas d'alerte.
Ça me semble normal. S'il y a les entêtes, le fichier est sans doute reconnu comme un message. Dans ce cas Norman fait bien la différence entre le text/plain et le text/html, ce dernier étant le seul à pouvoir comporter du VBS actif. S'il y avait uniquement les entêtes "standard" (De:, Forum:, Date:, Objet:) alors c'est considéré comme du text/plain. Enfin, c'est ce que je ferais à moins de découvrir des balises HTML.
F-Prot declare l'ensemble des .vbs "suspicious", et n'en identifie aucun.
Peut-être pour dire "il y a du code néfaste là-dedans".
