Virus apparement peu connu

Cyril -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Mon résultat de scan HitJack This montre plusieurs éléments contenant un fichier XDCC.EXE. Je les fixe et ils reviennent à chaque fois.

La recherche sur google sur "xdcc.exe" ne mène qu'à des sites japonais (Trendmicro), ce qui me confirme qu'il s'agit d'un virus.

J'ai utilisé a² et ad-aware sans résultat. Que faire contre cette merde???

Merci d'avance

10 réponses

  1. stifleur Messages postés 135 Statut Membre 1
     
    salut,va dans la base de registre ci t usait pas y aller tu va dans demarrer ,executer,tu tape regedit,ensuite dans la page qui souvre tu vas en haut dabs edition et tu fais rechercher ?la tu tape ton nom de ta merde.tien moi au courant et colle ton hijackthis ici
    merci a plus
    0
  2. Utilisateur anonyme
     
    bonsoir,
    et ton antivirus? et ton firewall?

    sur ce site ils disent que ce virus exploite la *faille RPC de microsoft (c'est pas récent... tu en es où de tes update??)
    bien sûr 'il faut bloquer les ports avec le firewall et dl les patches sur Windows update*

    http://www.broadbandreports.com/forum/remark,7566785~root=security,1

    *<--> M$
    http://www.infos-du-net.com/news/1031-faille-rpc.html

    selon Trend il s'agirait du virus BAT_PADMIN.A (à rechercher sur ce site)
    http://www.virus-trojaner.de/virus-trojaner/Win32_KME.php

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  3. Cyril
     
    La recherche dans la base de registre me donne 4 éléments (j'arrive pas à les copier) dont "start upping" avec comme donnée "XDCC.EXE"
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    clic sur SAVE-LOG>enregistre-le (mes docs par ex. ) >et copie/colle dans le Bloc-notes et ensuite copie/colle ICI

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  6. Cyril
     
    OK, j'ai compris, voici le résultat :

    ogfile of HijackThis v1.98.2
    Scan saved at 22:58:53, on 03/11/2004
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    D:\Programmes\Trend Micro Antivirus\Tmntsrv.exe
    D:\Programmes\Trend Micro Antivirus\tmproxy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
    D:\Programmes\Trend Micro Antivirus\PccPfw.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\mozilla.org\Mozilla\mozilla.exe
    C:\Documents and Settings\Cyril.CYRIL-PERSO\Mes documents\HijackThis.exe
    C:\WINDOWS\REGEDIT.exe
    C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
    C:\WINDOWS\system32\xdcc.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Start Upping] xdcc.exe
    O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Start Upping] xdcc.exe
    O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F12F56BE-8B2B-4C8A-9878-8EE52BA34D17}: NameServer = 80.118.192.111 80.118.196.36
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    fait deja ceci
    Supprimet net dow
    Voir procedure n°4
    http://www.newdotnet.com/

    traduction approximative

    PROCÉDÉ 4 (téléchargement Uninstall de New.net): À partir d'un ordinateur qui a accès d'Internet, cliquetez dessus le lien suivant: http://www.new.net/support/uninstall6_30.exe. Téléchargez et sauvez uninstall6_30.exe à une disquette 3-½. Insérez la disquette dans la commande souple de l'ordinateur du lequel doit avoir notre logiciel uninstalled. Cliquetez dessus le début. Cliquetez dessus la course. Dans le type ouvert de fenêtre, A:\uninstall6_30.exe. Cliquetez dessus le bouton CORRECT. Après déplacement de notre logiciel, vous pouvez être incités à recharger. Svp réinitialisation après avoir enlevé notre logiciel.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  8. Cyril
     
    J'ai rien compris : il n'y a rien à télécharger sur http://www.new.net/support/uninstall6_30.exe. !

    De +, il n'y a pas de procédure sur http://www.newdotnet.com/

    Merci d'être + clair SVP.
    0
    1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
       
      re
      desoler le lien n est plus valide il faut que je mette a jour mes liens
      suit la procedure de dolly

      la chasse et le balltrap ma vrai passion
      voir site perso dans profil
      0
  9. Utilisateur anonyme
     
    C:\WINDOWS\system32\xdcc.exe <-- cette exe tu dois la détruire en mode sans échec sinon au reboot.... tout à refaire!
    assûre-toi d'avoir accès aux fichiers (important)
    affiche les dossiers cachés :
    Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
    Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"
    Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" *

    fixe

    les lignes 04 : 1) ctrl+alt+supp tu arrêtes les processus dans le gestionnaire de tâches) et 2) tu repasses sur l'hijack et tu fixes
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
    O4 - HKLM\..\Run: [Start Upping] xdcc.exe
    O4 - HKLM\..\RunServices: [Start Upping] xdcc.exe

    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net
    O10 - Hijacked Internet access by New.Net

    Voir : New.Net
    (en anglais si ça te gène fait une recherche Google)
    http://www.pestpatrol.com/pestinfo/n/new_net.asp

    n'oublie pas si tu as un problème dans l'hijack tu as un fichier Backup* (sauvegarde) tu peux reverser les lignes par ce biais
    (screenshot*)
    http://www.ordi-netfr.org/tutorialhijackthis.html

    modus operandi :
    *fixe les lignes trouvées dans l'hijack
    *ferme l'hijack
    *reboot ton ordi
    *nettoie le cache internet (cookies et temps) vide ta corbeille
    *effectue un nettoyage de disque (démarrer/program./outils système/..)

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  10. Cyril
     
    Merci

    Je vais essayer tout ça. Si ca marche pas, j'irai me coucher.

    Sympa de dépanner les gens gratos. Respect à vous,

    Bye
    0