Reprise du message précédent :

 
je plussoie  

vous avez recu un mail comme ca???? :
 
virus alert > VIrus detecte dans votre message
 

 
 
Avec un fichier joint
de 229 octets!!!
 
     

 
moi j'ai ca :
 

 
sans fichier joint

condoleances

 
perso, je préfererai avoir un mydoom

 
moi aussi  

 
Ce me rappelle klez (ou un autre je sais plus) qui prenait des fichiers au hasard sur le dur et les envoyais aux emails trouvés sur le dur du PC infecté, je connais un cabinet de recrutement qui a vu plein de CV qu'ils avaient recus etre renvoyés un peu partout, parfois la ou ils ne voulais surtout pas qu'ils arrivent

MyDoom s'envoie aussi par le biais de faux message d'alerte.
Par exemple, un mail d'alerte qui dit : "le message ci-joint a été refusé par notre système de protection....blabla". Et le message joint est en fait un virus encodé dans le corps même du mail. Et souvent, les antivirus mails (serveur ou client) ne scannent pas cette deuxième partie!
Donc, les clients mails qui n'exécutent pas le code automatiquement ne craignent pas... les autres oui.
Pour info, via mon webmail, le mail (2è) apparaît sous forme de code (caractères en veux-tu en voilà... et dès que j'affiche la source complète de ce mail ... BIIIIP mon antivirus local (côté client) se déclenche. Afficher la source revient à placer son contenu dans un dossier "temp" quelconque"... ce dossier est donc scanné en temps réel par l'av.
 
Raison de plus pour avoir un antivirus à jour côté client en plus de celui qu'équipe nos chers serveurs de messagerie.

http://www.microsoft.com/security/antivirus/mydoom.asp
To check for Mydoom, type:
"dir shimgapi.dll ctfmon.dll intrenat.exe /a /s"

 
Commande à taper à la racine du C, bien entendu.

Quelqu'un peut m'expliquer pourquoi je n'arrive pas à accéder aux sites microsoft et à lancer un windows update sous XP.
 
Mon antivirus est à jour (Antivirus Kit Pro 11)et n'a rien détecté. J'ai lancé le scan online de Trend ainsi que téléchargé (au bureau et mis sur disquette) les solutions de Microsoft de Mac Afee et 2 autres encore) et aucun me détecte ces pu*ins de virus.
 
J'arrive pourtant à accéder à tous les sites même ceux d'editeurs d'antivirus sauf Microsoft.
 
C'est quoi ce bordel ? Des clés ont été modifiées dans la base de registre  malgré tout. Si c'est le cas si quelqu'un sait lesquelles e comment les corriger ?
 
Dernier point Je n'ai aucun nouveau process apparu et n'ai reçu mail suspicieux.

"n'arrive pas à accéder", c'est à dire?
erreur 404, erreur dns, erreur quoi?

Il semble trouver la page au départ sauf qu'elle ne s'ouvre pas et termine par planter avec comme message :  
 
"Action annulée  
Internet Explorer ne peut pas ouvrir la page Web requise. La page n'est peut-être pas disponible temporairement.  
 
etc"
 
je vais vérifier les clés suivantes trouvées sur le site de Trend :
Removing Autostart Entries from the Registry  
 
Removing autostart entries from the registry prevents the malware from executing during startup.  
 
Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.  
In the left panel, double-click the following:  
HKEY_LOCAL_MACHINE>Software>Microsoft>  
Windows>CurrentVersion>Run  
In the right panel, locate and delete the entry or entries:  
TaskMon = %System%\taskmon.exe  
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.)  
(Note: Some registry entries may point to a legitimate Windows utility with the same file name, TASKMON.EXE, and that can be found in the Windows folder on some systems.)  
In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Run  
In the right panel, locate and delete the entry or entries, if found:
TaskMon = %System%\taskmon.exe  
Removing Other Malware Entries from the Registry  
 
Still in Registry Editor, in the left panel, double click the following:
HKEY_CLASSES_ROOT>CLSID>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}>
InProcServer32  
In the right panel, locate and modify the entry:
(Default) = ?%System%\shimgapi.dll?
and change it to
%System%\webcheck.dll  
Close Registry Editor.
NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.
 

pas d'idée concernant mon problème.
J'ai vérifié dans la base de registre et pas de trace.

ton fichier host aurait-il subit quelques modifications?

juste pour dire que j'ai jamais ouvert ces fichus pieces jointes et que j'ai quand meme eu le virus.
 
j'utilise thunderbird et j'ai un antivirus qui est a jour ( il viens de detecter worm_mydoom.a) ; si quelqu'un a une explication je suis preneur

travailles-tu en session administrateur?
 

oui

Donc l'infection a tres bien pu se faire sans demander ton accord.

tu m en dit un peu plus?
jme contenterai d'un url meme

Un virus n'arrive pas forcément sous forme d'une pièce jointe.
Il peut directement être encodé dans le mail en tant qu'exécutable (lors de la lecture), en exploitant certaines failles du client.
Il peut aussi être exécuté lors du parcours d'une page web (activex et compagnie).
Si tu travailles sous une session de type administrateur, ce genre de code peut s'exécuter ET s'installer sans ton accord car ce code malin hérite des droits de la session en cours.
Si tu travailles en session utilisateur, ce code hérite des droits utilisateur => pas d'autorisation d'install ou de modif de la BDR (ou presque) et des fichiers systèmes.

 
s'il a pas reussi a le Mettre en quarantaine il a foutu quoi avec  
 
 
edit: notez les espaces entre la fin du nom du fichier et l'extention

1° suppression
2° bloquer l'accès
 
Solution, fermer thunderbird... relancer le scan.

 
thunderbird etait deja fermé lors du scan
 
mais jreesaye pour voir, mais je crois qu'il l'a tout simplement supprimer en fait  
 
edit: il a belle et bien supprimer les fichiers infectés, le mieux aurait été de le signaler dans le journal mais bon

voir les logs... ?

 
Ou est ce fichier et quelles modifications ?

Toujours pas d'idées ?  

 
Demarrer, rechercher, fichiers ou dossiers, "host" par exemple    
 
Faut pas completement débrancher le cerveau en se disant que d'autres auront bien la réponse sur le net, c'est utile parfois ce truc spongieux.

 
Tiens voilà le comic de service qui se croît plus malin que tout le monde.
Ton intervention aura au moins servi à "upper" le topic.
 
Tout le monde n'est pas ingénieur pour ton information.
 
Si tu fais une simple recherche comme tu le suggère tu tombes sur un grand nombre de fichier.
Au delà de ça, encore faut-il avoir les connaissances nécessaires pour connaître le contenu d'un fichier et reconnaître ce qui aurait pu être modifé.  
 
C'est vrai j'oubliais, tu es Dieu le Père, tu as la science infuse.

faut pas être ingénieur, Jef, faut être un peu dégourdi c'est tout...

Quand au contenu... notepad et question sur forum.

 
Merci, je sais utilisé Notepad.
 
Je n'ai rien dans mon fichier Hosts (C:\WINDOWS\system32\drivers\etc) :
 
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x
 
127.0.0.1       localhost
 
 
J'avoue que je n'ai jamais ouvert ce fichier jusqu'à présent. Je vais voir ce que me raconte mon amis google.

contenu ok

Je suis de plus en plus perdu.  
 
Pas de virus détecté, rien de trouvé, pour l'instant en tout cas, dans la base registre et fichier Hosts clean.  
 
J'ai installé Firefox, par curiosité, avec le même résultat que IIS.
 
Il doit bien avec une ligne de saisie ou modifiée quelque part qui 'empêche d'accéder aux sites Microsoft (à la base cela ne me dérange pour pour les mises à jour)

est-ce bien "QUE" les sites µsofts ?

 
Oui. Tous les autres sites que je consulte régulièrement fonctionnent.
 
Curieusement, j'accède à windows update en passant par une recherche sur Google sinon impossible que ce soit directement depuis Internet Explorer ou le paneau de configuration.
 
Sinon j'accède à http://support.microsoft.com/, par exemple, mais les je n'accède pas depuis ce site aux pages rattachées à www.microsoft.com