August 5, 200718 yr Generationmp3 évoque un nouveau ver qui supprime les mp3s: W32.Deletemusic : un nouveau virus qui supprime vos MP3 !Par Greg | dimanche 5 août 2007 à 12:07 | Software | #6974 | rss W32.Deletemusic est un nouveau virus informatique qui se propage sur les systèmes de Windows 95 à Windows Vista ! Celui-ci a la facheuse tendance à effacer l'ensemble des fichiers MP3 qui se trouvent sur les disques durs et supports amovibles connectés à votre ordinateur infecté. Le fichier contenant ce ver porte le nom csrss.exe, il se copie automatiquement sur tous les disques reliés au système, y compris les disques partagés en réseau et créer un fichier autorun.inf sur chaque disque pour s'exécuter à chaque connexion du support... Celui-ci modifie également la base de registre pour être exécuté à chaque démarrage de Windows. Lorsque le ver est exécuté, il copie les fichiers suivants : %System%\config\csrss.exe %Windir%\media\arena.exe %System%\logon.bat %System%\config\autorun.inf Heureusement, Symantec propose une méthode pour désinfecter votre ordinateur. A noter que ce virus est également nommé W32/Deletemp3.worm ou W32/DelMP3-A. Or il s'avère que csrss.exe est un fichier système de windows !!! (Client Server Runtime Sub System) Donc tous les PC sous windows l'ont ! Comment savoir si l'on est infecté ou pas ? (j'ai active virus shield comme anti-virus) MErci Edited August 5, 200718 yr by gto55
August 5, 200718 yr surement un hoax ! va sur hoaxbuster.com, pr le moment il n'y a rien sur ce virus (faux virus?).
August 5, 200718 yr Author ratiatumm en parle et symantec eplique comment le supprimer Sûrement pas un hoax mais comment savoir si on est infecté
August 5, 200718 yr Author SmitFraudFix v2.208 Rapport fait à 18:08:14,62, 05/08/2007 Executé à partir de C:\Program Files\Free Download Manager\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\AOL\Active Virus Shield\avp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\a-squared Free\a2service.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\AOL\Active Virus Shield\avp.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Raxco\PerfectDisk\PDAgent.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\Program Files\Raxco\PerfectDisk\PDEngine.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\PROGRA~1\FREEDO~1\fdm.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "LoadAppInit_DLLs"=dword:00000001 »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets DNS Server Search Order: 212.27.54.252 DNS Server Search Order: 212.27.53.252 HKLM\SYSTEM\CCS\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS1\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS2\Services\Tcpip\..\{6DA34C81-FFE8-4934-BA75-8D7ECBE76556}: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin
August 5, 200718 yr Ok ... choisis l'option 2 avec SmitfraudFix . Désactive la restauration système . Puis ensuite : Passe BlacklLight et poste le rapport: http://www.f-secure.com/blacklight/ Methode manuelle proposée par Symantec : http://www.symantec.com/security_response/...-99&tabid=3
August 5, 200718 yr # Tape regedit dans Démarrer / Exécuter # Click OK. Supprime cette clé : , si présente !!! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\"Worms" = "C:\WINDOWS\system32\logon.bat" # Restaure ces valeurs à ces clés : HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1" HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
Archived
This topic is now archived and is closed to further replies.