W32.Rontokbro@mm ... ou pas ?

Le
Mathias Rocher
Bonjour. Il m'arrive un truc bizarre et j'aurais besoin d'aide

Je suis sous Windows XP et j'utilise Norton comme antivirus. Les
dfinitions de virus et le logiciel sont jour (je les mets jour
automatiquement). Il m'est arriv la chose suivante : inopinment,
Norton fait apparatre une bote qui me signale :

Le fichier
C:Documents and SettingsAll UsersDocumentsData Kris.exe
est infect par le virus W32.Rontokbro@mm.
Impossible de rparer ce fichier.

Je clique sur "OK", et l une autre bote apparat signalant :

Le fichier
C:Documents and SettingsAll UsersDocumentsData Kris.exe
est infect par le virus W32.Rontokbro@mm.
L'accs au fichier a t refus.

Je re-clique sur OK, et l'vnement se reproduit l'identique un
certain nombre de fois avec des noms de fichiers diffrents :
C:Documents and SettingsAll UsersDocumentsSharedDocs.exe
C:Documents and SettingsAll UsersDocumentsMes imagesMes images.exe
etc

Je pense donc que j'ai t infect par le virus W32.Rontokbro@mm :
donc je fais un scan de tout mon disque dur et rien ! aucun virus
repr ! J'ai essay avec un autre anti-Virus (Avast !) et il n'a
rien dtect non plus. J'ai ressay avec Norton en dmarrant en
mode sans chec et en me loggant comme administrateur : rien non plus.
C'est bizarre parce qu'apparemment Norton est sens trouver ce virus
W32.Rontokbro@mm

Un dtail qui, je pense, a son importance : les fichiers signals
ci-dessus, c'est comme s'ils n'existaient pas. Je n'en ai jamais vu la
trace, mme en redmarrant mon ordi sous Linux (j'ai les deux
systmes installs sur deux partitions) et en fouillant dans
/mnt/windows, ils sont tout simplement inexistants ! Si je comprends
bien ce qui se passe (corrigez moi si je dlire), j'ai bien un
programme malfaisant sur mon disque ou en mmoire, qui n'est pas
repr par Norton, et qui tente de crer ces fichiers ; l'opration
est alors immdiatement repre par Norton, qui empche leur
cration aussitt.

Le problme demeure : comment arrter le phnomne ? parce que si
je n'ai observ aucun des dgats qu'est sens causer le Rontokbro si
on en croit les descriptions glanes sur le web (cration de
certaines tches planifies, crasement de autoexec.bat, re-boot de
l'ordinateur ds qu'on execute msconfig ou regedit), rien ne me dit
que le machin ne cause pas d'autres dgats. Et rien que ces alertes
intempestives, c'est franchement inquitant. D'autant plus que pendant
une semaine environ avant l'apparition du truc (est-ce li ?)
l'Auto-Protect de Norton ne se mettait plus en route automatiquement au
dmarrage de Windows et je devais le faire la main.

Voila, j'ai dcrit le phnomne du mieux que je pouvais, en essayant
de ne rien oublier. Est-ce que quelqu'un entrevoit une solution ? Ah
oui, je ne suis vraiment pas spcialiste en scurit informatique
donc si vous pouvez tre explicites dans vos rponses a serait
sympa merci d'avance.

--
Mathias Rocher
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jacquouille la Fripouille
Le #1585128
"Mathias Rocher" news:
Bonjour. Il m'arrive un truc bizarre et j'aurais besoin d'aide...

Je suis sous Windows XP et j'utilise Norton comme antivirus. Les
définitions de virus et le logiciel sont à jour (je les mets à jour
automatiquement). Il m'est arrivé la chose suivante : inopinément,
Norton fait apparaître une boîte qui me signale :

Le fichier
C:Documents and SettingsAll UsersDocumentsData Kris.exe
est infecté par le virus
Impossible de réparer ce fichier.

Je clique sur "OK", et là une autre boîte apparaît signalant :

Le fichier
C:Documents and SettingsAll UsersDocumentsData Kris.exe
est infecté par le virus
L'accès au fichier a été refusé.

Je re-clique sur OK, et l'évènement se reproduit à l'identique un
certain nombre de fois avec des noms de fichiers différents :
C:Documents and SettingsAll UsersDocumentsSharedDocs.exe
C:Documents and SettingsAll UsersDocumentsMes imagesMes images.exe
etc...

Je pense donc que j'ai été infecté par le virus :
donc je fais un scan de tout mon disque dur... et rien ! aucun virus
repéré ! J'ai essayé avec un autre anti-Virus (Avast !) et il n'a
rien détecté non plus. J'ai réessayé avec Norton en démarrant en
mode sans échec et en me loggant comme administrateur : rien non plus.
C'est bizarre parce qu'apparemment Norton est sensé trouver ce virus


Un détail qui, je pense, a son importance : les fichiers signalés
ci-dessus, c'est comme s'ils n'existaient pas. Je n'en ai jamais vu la
trace, même en redémarrant mon ordi sous Linux (j'ai les deux
systèmes installés sur deux partitions) et en fouillant dans
/mnt/windows, ils sont tout simplement inexistants ! Si je comprends
bien ce qui se passe (corrigez moi si je délire), j'ai bien un
programme malfaisant sur mon disque ou en mémoire, qui n'est pas
repéré par Norton, et qui tente de créer ces fichiers ; l'opération
est alors immédiatement repérée par Norton, qui empêche leur
création aussitôt.

Le problème demeure : comment arrêter le phénomène ? parce que si
je n'ai observé aucun des dégats qu'est sensé causer le Rontokbro si
on en croit les descriptions glanées sur le web (création de
certaines tâches planifiées, écrasement de autoexec.bat, re-boot de
l'ordinateur dès qu'on execute msconfig ou regedit), rien ne me dit
que le machin ne cause pas d'autres dégats. Et rien que ces alertes
intempestives, c'est franchement inquiétant. D'autant plus que pendant
une semaine environ avant l'apparition du truc (est-ce lié ?)
l'Auto-Protect de Norton ne se mettait plus en route automatiquement au
démarrage de Windows et je devais le faire à la main.

Voila, j'ai décrit le phénomène du mieux que je pouvais, en essayant
de ne rien oublier. Est-ce que quelqu'un entrevoit une solution ? Ah
oui, je ne suis vraiment pas spécialiste en sécurité informatique
donc si vous pouvez être explicites dans vos réponses ça serait
sympa... merci d'avance.


Une piste sérieuse :
http://fr.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=1&VName=WORM_RONTOKBRO.W

--
Jacquouille la Fripouille
Jacquouille la Fripouille
Le #1585127
"Mathias Rocher" news:
Bonjour. Il m'arrive un truc bizarre et j'aurais besoin d'aide...

Je suis sous Windows XP et j'utilise Norton comme antivirus. Les
définitions de virus et le logiciel sont à jour (je les mets à jour
automatiquement). Il m'est arrivé la chose suivante : inopinément,
Norton fait apparaître une boîte qui me signale :

Le fichier
C:Documents and SettingsAll UsersDocumentsData Kris.exe
est infecté par le virus
Impossible de réparer ce fichier.

[Couic...]
______________________________________________

La réponse de Symantec :
http://securityresponse.symantec.com/avcenter/venc/data/?Open

Je pense qu'avant de scanner avec Norton en mode sans échec, il faut que tu
désactives la restauration de système. Car sinon des miasmes restent dans
les points de resto antérieurs.

--
Jacquouille la Fripouille
Mathias Rocher
Le #1585126

La réponse de Symantec :
http://securityresponse.symantec.com/avcenter/venc/data/ html?Open

Je pense qu'avant de scanner avec Norton en mode sans échec, il faut qu e tu
désactives la restauration de système. Car sinon des miasmes restent dans
les points de resto antérieurs.


Certes, mais même sans la désactiver, Norton devrait repérer le
virus lors d'un scan... Or il ne le détecte pas. Bizarre, bizarre...

--
Mathias Rocher

Jacquouille la Fripouille
Le #1585123
"Mathias Rocher" news:


La réponse de Symantec :

http://securityresponse.symantec.com/avcenter/venc/data/?Open


Je pense qu'avant de scanner avec Norton en mode sans échec, il faut que
tu

désactives la restauration de système. Car sinon des miasmes restent dans
les points de resto antérieurs.


Certes, mais même sans la désactiver, Norton devrait repérer le
virus lors d'un scan... Or il ne le détecte pas. Bizarre, bizarre...

_______________

Non, parce qu'il ne scanne que la resto en cours.
Désactiver la resto de système supprime tous les points de resto antérieurs,
donc cette manoeuvre éradique ce qui était planqué dans les points de resto
antérieurs.
Enfin, c'est ce que j'ai lu plusieurs fois dans ces NG.
D'ailleurs Symantec le dit dans sa procédure d'éradication (removal
instructions) :
"1. Disable System Restore (Windows Me/XP)."
--
Jacquouille la Fripouille

Mathias Rocher
Le #1585122

Désactiver la resto de système supprime tous les points de resto ant érieurs,
donc cette manoeuvre éradique ce qui était planqué dans les points de resto
antérieurs.
Enfin, c'est ce que j'ai lu plusieurs fois dans ces NG.


Si c'est ça alors je l'ai fait : j'avais fait un "nettoyage de disque"
juste avant en lui précisant de supprimmer tous les points de
restauration à l'exception du plus récent.

Je reprécise, comme je l'ai déja dit dans le premier message, que je
n'observe aucun des symptômes habituellement décrits de l'infection
par Rontokbro, à part que Norton me signale de temps en temps la
présence d'un fichier infecté par Rontokbro, en indiquant un chemin
qui ne correspond à aucun fichier visible...

--
Mathias Rocher

Mathias Rocher
Le #1585121

La réponse de Symantec :
http://securityresponse.symantec.com/avcenter/venc/data/ html?Open

Je pense qu'avant de scanner avec Norton en mode sans échec, il faut qu e tu
désactives la restauration de système. Car sinon des miasmes restent dans
les points de resto antérieurs.


Par acquis de conscience, j'ai re-fait exactement comme indiqué sur la
page de Symantec. Et je confirme que Norton n'a trouvé aucun virus sur
mon disque !

J'ai donc une question qui est peut-être stupide mais bon je la pose
quand même : le phénomène que j'ai décrit dans mon premier mail ne
s'est produit "que" 5 ou 6 fois (!) mais à chaque fois j'étais
connecté à internet via le réseau de mon Université. Se pourrait-il
que le programme malveillant se trouve quelque part ailleurs sur le
réseau que sur mon propre ordinateur ?

--
Mathias Rocher

Jacquouille la Fripouille
Le #1585120
"Mathias Rocher" news:

La réponse de Symantec :

http://securityresponse.symantec.com/avcenter/venc/data/?Open


Je pense qu'avant de scanner avec Norton en mode sans échec, il faut que
tu

désactives la restauration de système. Car sinon des miasmes restent dans
les points de resto antérieurs.


Par acquis de conscience, j'ai re-fait exactement comme indiqué sur la
page de Symantec. Et je confirme que Norton n'a trouvé aucun virus sur
mon disque !

J'ai donc une question qui est peut-être stupide mais bon je la pose
quand même : le phénomène que j'ai décrit dans mon premier mail ne
s'est produit "que" 5 ou 6 fois (!) mais à chaque fois j'étais
connecté à internet via le réseau de mon Université. Se pourrait-il
que le programme malveillant se trouve quelque part ailleurs sur le
réseau que sur mon propre ordinateur ?
_________________________

Ça dépasse mes faibles compétences.
Je passe la main.

--
Jacquouille la Fripouille

Publicité
Poster une réponse
Anonyme