Posté(e) le 5 août 200717 a Generationmp3 évoque un nouveau ver qui supprime les mp3s: W32.Deletemusic : un nouveau virus qui supprime vos MP3 !Par Greg | dimanche 5 août 2007 à 12:07 | Software | #6974 | rss W32.Deletemusic est un nouveau virus informatique qui se propage sur les systèmes de Windows 95 à Windows Vista ! Celui-ci a la facheuse tendance à effacer l'ensemble des fichiers MP3 qui se trouvent sur les disques durs et supports amovibles connectés à votre ordinateur infecté. Le fichier contenant ce ver porte le nom csrss.exe, il se copie automatiquement sur tous les disques reliés au système, y compris les disques partagés en réseau et créer un fichier autorun.inf sur chaque disque pour s'exécuter à chaque connexion du support... Celui-ci modifie également la base de registre pour être exécuté à chaque démarrage de Windows. Lorsque le ver est exécuté, il copie les fichiers suivants : %System%\config\csrss.exe %Windir%\media\arena.exe %System%\logon.bat %System%\config\autorun.inf Heureusement, Symantec propose une méthode pour désinfecter votre ordinateur. A noter que ce virus est également nommé W32/Deletemp3.worm ou W32/DelMP3-A. Or il s'avère que csrss.exe est un fichier système de windows !!! (Client Server Runtime Sub System) Donc tous les PC sous windows l'ont ! Comment savoir si l'on est infecté ou pas ? (j'ai active virus shield comme anti-virus) MErci Modifié le 5 août 200717 a par gto55
Posté(e) le 5 août 200717 a surement un hoax ! va sur hoaxbuster.com, pr le moment il n'y a rien sur ce virus (faux virus?).
Posté(e) le 5 août 200717 a Auteur ratiatumm en parle et symantec eplique comment le supprimer Sûrement pas un hoax mais comment savoir si on est infecté
Posté(e) le 5 août 200717 a Auteur SmitFraudFix v2.208 Rapport fait à 18:08:14,62, 05/08/2007 Executé à partir de C:\Program Files\Free Download Manager\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\AOL\Active Virus Shield\avp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\a-squared Free\a2service.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\AOL\Active Virus Shield\avp.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Raxco\PerfectDisk\PDAgent.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\Program Files\Raxco\PerfectDisk\PDEngine.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\PROGRA~1\FREEDO~1\fdm.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "LoadAppInit_DLLs"=dword:00000001 »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets DNS Server Search Order: 212.27.54.252 DNS Server Search Order: 212.27.53.252 HKLM\SYSTEM\CCS\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS1\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS2\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin
Posté(e) le 5 août 200717 a Ok ... choisis l'option 2 avec SmitfraudFix . Désactive la restauration système . Puis ensuite : Passe BlacklLight et poste le rapport: http://www.f-secure.com/blacklight/ Methode manuelle proposée par Symantec : http://www.symantec.com/security_response/...-99&tabid=3
Posté(e) le 5 août 200717 a # Tape regedit dans Démarrer / Exécuter # Click OK. Supprime cette clé : , si présente !!! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"Worms" = "C:\WINDOWS\system32\logon.bat" # Restaure ces valeurs à ces clés : HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.