gto55 Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 Generationmp3 évoque un nouveau ver qui supprime les mp3s: W32.Deletemusic : un nouveau virus qui supprime vos MP3 !Par Greg | dimanche 5 août 2007 à 12:07 | Software | #6974 | rss W32.Deletemusic est un nouveau virus informatique qui se propage sur les systèmes de Windows 95 à Windows Vista ! Celui-ci a la facheuse tendance à effacer l'ensemble des fichiers MP3 qui se trouvent sur les disques durs et supports amovibles connectés à votre ordinateur infecté. Le fichier contenant ce ver porte le nom csrss.exe, il se copie automatiquement sur tous les disques reliés au système, y compris les disques partagés en réseau et créer un fichier autorun.inf sur chaque disque pour s'exécuter à chaque connexion du support... Celui-ci modifie également la base de registre pour être exécuté à chaque démarrage de Windows. Lorsque le ver est exécuté, il copie les fichiers suivants : %System%\config\csrss.exe %Windir%\media\arena.exe %System%\logon.bat %System%\config\autorun.inf Heureusement, Symantec propose une méthode pour désinfecter votre ordinateur. A noter que ce virus est également nommé W32/Deletemp3.worm ou W32/DelMP3-A. Or il s'avère que csrss.exe est un fichier système de windows !!! (Client Server Runtime Sub System) Donc tous les PC sous windows l'ont ! Comment savoir si l'on est infecté ou pas ? (j'ai active virus shield comme anti-virus) MErci Lien vers le commentaire Partager sur d’autres sites More sharing options...
kyro Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 un coup d'antivirus a jour ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
noisette Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 http://www.virustotal.com/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
gto55 Posté(e) le 5 août 2007 Auteur Partager Posté(e) le 5 août 2007 AVS est à jour mais ne détecte rien, que faire Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einstein-Rosen-Podolsky Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 surement un hoax ! va sur hoaxbuster.com, pr le moment il n'y a rien sur ce virus (faux virus?). Lien vers le commentaire Partager sur d’autres sites More sharing options...
gto55 Posté(e) le 5 août 2007 Auteur Partager Posté(e) le 5 août 2007 ratiatumm en parle et symantec eplique comment le supprimer Sûrement pas un hoax mais comment savoir si on est infecté Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 Salut , passe SmitfarudFix et poste le rapport . ( vise ma signature ) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einstein-Rosen-Podolsky Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 voici le lien que mcaffe nous donne pr le virus Lien vers le commentaire Partager sur d’autres sites More sharing options...
gto55 Posté(e) le 5 août 2007 Auteur Partager Posté(e) le 5 août 2007 SmitFraudFix v2.208 Rapport fait à 18:08:14,62, 05/08/2007 Executé à partir de C:\Program Files\Free Download Manager\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\AOL\Active Virus Shield\avp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\a-squared Free\a2service.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\AOL\Active Virus Shield\avp.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Raxco\PerfectDisk\PDAgent.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\Program Files\Raxco\PerfectDisk\PDEngine.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\PROGRA~1\FREEDO~1\fdm.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "LoadAppInit_DLLs"=dword:00000001 »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets DNS Server Search Order: 212.27.54.252 DNS Server Search Order: 212.27.53.252 HKLM\SYSTEM\CCS\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS1\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS2\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 Ok ... choisis l'option 2 avec SmitfraudFix . Désactive la restauration système . Puis ensuite : Passe BlacklLight et poste le rapport: http://www.f-secure.com/blacklight/ Methode manuelle proposée par Symantec : http://www.symantec.com/security_response/...-99&tabid=3 Lien vers le commentaire Partager sur d’autres sites More sharing options...
gto55 Posté(e) le 5 août 2007 Auteur Partager Posté(e) le 5 août 2007 ils ne me détectent rien ils ne me détectent rien Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 5 août 2007 Partager Posté(e) le 5 août 2007 # Tape regedit dans Démarrer / Exécuter # Click OK. Supprime cette clé : , si présente !!! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"Worms" = "C:\WINDOWS\system32\logon.bat" # Restaure ces valeurs à ces clés : HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1" Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.