Virus apparement peu connu
Cyril
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Mon résultat de scan HitJack This montre plusieurs éléments contenant un fichier XDCC.EXE. Je les fixe et ils reviennent à chaque fois.
La recherche sur google sur "xdcc.exe" ne mène qu'à des sites japonais (Trendmicro), ce qui me confirme qu'il s'agit d'un virus.
J'ai utilisé a² et ad-aware sans résultat. Que faire contre cette merde???
Merci d'avance
La recherche sur google sur "xdcc.exe" ne mène qu'à des sites japonais (Trendmicro), ce qui me confirme qu'il s'agit d'un virus.
J'ai utilisé a² et ad-aware sans résultat. Que faire contre cette merde???
Merci d'avance
A voir également:
- Virus apparement peu connu
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Groupe de 4 connu ✓ - Forum Loisirs / Divertissements
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
10 réponses
salut,va dans la base de registre ci t usait pas y aller tu va dans demarrer ,executer,tu tape regedit,ensuite dans la page qui souvre tu vas en haut dabs edition et tu fais rechercher ?la tu tape ton nom de ta merde.tien moi au courant et colle ton hijackthis ici
merci a plus
merci a plus
bonsoir,
et ton antivirus? et ton firewall?
sur ce site ils disent que ce virus exploite la *faille RPC de microsoft (c'est pas récent... tu en es où de tes update??)
bien sûr 'il faut bloquer les ports avec le firewall et dl les patches sur Windows update*
http://www.broadbandreports.com/forum/remark,7566785~root=security,1
*<--> M$
http://www.infos-du-net.com/news/1031-faille-rpc.html
selon Trend il s'agirait du virus BAT_PADMIN.A (à rechercher sur ce site)
http://www.virus-trojaner.de/virus-trojaner/Win32_KME.php
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
et ton antivirus? et ton firewall?
sur ce site ils disent que ce virus exploite la *faille RPC de microsoft (c'est pas récent... tu en es où de tes update??)
bien sûr 'il faut bloquer les ports avec le firewall et dl les patches sur Windows update*
http://www.broadbandreports.com/forum/remark,7566785~root=security,1
*<--> M$
http://www.infos-du-net.com/news/1031-faille-rpc.html
selon Trend il s'agirait du virus BAT_PADMIN.A (à rechercher sur ce site)
http://www.virus-trojaner.de/virus-trojaner/Win32_KME.php
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
La recherche dans la base de registre me donne 4 éléments (j'arrive pas à les copier) dont "start upping" avec comme donnée "XDCC.EXE"
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
clic sur SAVE-LOG>enregistre-le (mes docs par ex. ) >et copie/colle dans le Bloc-notes et ensuite copie/colle ICI
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
OK, j'ai compris, voici le résultat :
ogfile of HijackThis v1.98.2
Scan saved at 22:58:53, on 03/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmes\Trend Micro Antivirus\Tmntsrv.exe
D:\Programmes\Trend Micro Antivirus\tmproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programmes\Trend Micro Antivirus\PccPfw.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Documents and Settings\Cyril.CYRIL-PERSO\Mes documents\HijackThis.exe
C:\WINDOWS\REGEDIT.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\xdcc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Start Upping] xdcc.exe
O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Start Upping] xdcc.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{F12F56BE-8B2B-4C8A-9878-8EE52BA34D17}: NameServer = 80.118.192.111 80.118.196.36
ogfile of HijackThis v1.98.2
Scan saved at 22:58:53, on 03/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmes\Trend Micro Antivirus\Tmntsrv.exe
D:\Programmes\Trend Micro Antivirus\tmproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programmes\Trend Micro Antivirus\PccPfw.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Documents and Settings\Cyril.CYRIL-PERSO\Mes documents\HijackThis.exe
C:\WINDOWS\REGEDIT.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\xdcc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Start Upping] xdcc.exe
O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Start Upping] xdcc.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{F12F56BE-8B2B-4C8A-9878-8EE52BA34D17}: NameServer = 80.118.192.111 80.118.196.36
salut
fait deja ceci
Supprimet net dow
Voir procedure n°4
http://www.newdotnet.com/
traduction approximative
PROCÉDÉ 4 (téléchargement Uninstall de New.net): À partir d'un ordinateur qui a accès d'Internet, cliquetez dessus le lien suivant: http://www.new.net/support/uninstall6_30.exe. Téléchargez et sauvez uninstall6_30.exe à une disquette 3-½. Insérez la disquette dans la commande souple de l'ordinateur du lequel doit avoir notre logiciel uninstalled. Cliquetez dessus le début. Cliquetez dessus la course. Dans le type ouvert de fenêtre, A:\uninstall6_30.exe. Cliquetez dessus le bouton CORRECT. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
fait deja ceci
Supprimet net dow
Voir procedure n°4
http://www.newdotnet.com/
traduction approximative
PROCÉDÉ 4 (téléchargement Uninstall de New.net): À partir d'un ordinateur qui a accès d'Internet, cliquetez dessus le lien suivant: http://www.new.net/support/uninstall6_30.exe. Téléchargez et sauvez uninstall6_30.exe à une disquette 3-½. Insérez la disquette dans la commande souple de l'ordinateur du lequel doit avoir notre logiciel uninstalled. Cliquetez dessus le début. Cliquetez dessus la course. Dans le type ouvert de fenêtre, A:\uninstall6_30.exe. Cliquetez dessus le bouton CORRECT. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
J'ai rien compris : il n'y a rien à télécharger sur http://www.new.net/support/uninstall6_30.exe. !
De +, il n'y a pas de procédure sur http://www.newdotnet.com/
Merci d'être + clair SVP.
De +, il n'y a pas de procédure sur http://www.newdotnet.com/
Merci d'être + clair SVP.
C:\WINDOWS\system32\xdcc.exe <-- cette exe tu dois la détruire en mode sans échec sinon au reboot.... tout à refaire!
assûre-toi d'avoir accès aux fichiers (important)
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *
fixe
les lignes 04 : 1) ctrl+alt+supp tu arrêtes les processus dans le gestionnaire de tâches) et 2) tu repasses sur l'hijack et tu fixes
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Start Upping] xdcc.exe
O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Voir : New.Net (en anglais si ça te gène fait une recherche Google)
http://www.pestpatrol.com/pestinfo/n/new_net.asp
n'oublie pas si tu as un problème dans l'hijack tu as un fichier Backup* (sauvegarde) tu peux reverser les lignes par ce biais
(screenshot*)
http://www.ordi-netfr.org/tutorialhijackthis.html
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
assûre-toi d'avoir accès aux fichiers (important)
affiche les dossiers cachés :
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *
fixe
les lignes 04 : 1) ctrl+alt+supp tu arrêtes les processus dans le gestionnaire de tâches) et 2) tu repasses sur l'hijack et tu fixes
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Start Upping] xdcc.exe
O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Voir : New.Net (en anglais si ça te gène fait une recherche Google)
http://www.pestpatrol.com/pestinfo/n/new_net.asp
n'oublie pas si tu as un problème dans l'hijack tu as un fichier Backup* (sauvegarde) tu peux reverser les lignes par ce biais
(screenshot*)
http://www.ordi-netfr.org/tutorialhijackthis.html
modus operandi :
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./outils système/..)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
