Mydoom repéré mis non supprimé par patch wanadoo

[J2M57]

Bonsoir ! <BR> <BR>J'ai découvert votre forum ce soir. J'y viens car je ne sais plus si mon ordi est contaminé ou non par mydoom. J'ai ouvert une pièce jointe avec des "hiéroglyphes" le 28 ou le 29 janvier. Suite à cela ( quelques jours plus tard ), j'ai téléchargé le patch symantec sur mon poste et l'ai appliqué. Mydoom n'a pas été détecté. <BR>J'ai essayé le patch wanadoo et là il me dit que le virus a été repéré mais pas éliminé. <BR>J'ai scanné mon ordi avec l'antivirus de Trend qui a débusqué le virus : TROJ FEMAD.E <BR> <BR>J'ai installé antivir ,l'ai mis à jour puis ai scanné l'ordi. rien n'a été détecté. <BR> <BR>J'ai recommencé avec le patch wanadoo qui m'a dit que le virus n'était pas éliminé. <BR>J'ai recherché des dossiers normalement créés par Novarg ou Mydoom mais je n'en ai trouvé aucun. <BR>J'ai enfin essayé avec le patch macaffee qui n'a rien détecté de suspect. <BR>Comment être sûr de ne pas avoir ce virus ? <BR> <BR>Merci d'avance pour votre aide. <BR> <BR>J2M57 <BR>

[micjack]

Peut tu me faire parvenir ton message dans ma bal ? <BR><BR><BR><font size=-2></font>

[J2M57]

Bonsoir ! <BR> <BR>As-tu bien reçu mon mail d'hier soir ? <BR> <BR>

[dufrma]

Salut a tous, <BR>J'ai entendu dire que ces nouveaux virus empecher aussi le bon fonctionnement et installation des antivirus. <BR>Est ce vrai ou pas? <BR> <IMG SRC="images/smiles/icon_confused.gif">

[nomat]

Le Lien : <BR> <BR><!-- BBCode u2 Start --><A HREF="http://null" TARGET="_blank">null</A><!-- BBCode u2 End --><!-- BBCode u2 Start --><A HREF="http://www.laboratoire-microsoft.org/articles/win/Mydoom/" TARGET="_blank">MyDoom</A><!-- BBCode u2 End --> <BR> <BR> <BR>Le Détail : <BR> <BR> <BR>3. Comment s’en protéger, comment s’en débarrasser ? <BR>Se protéger des vers MyDoom /Novarg <BR>MyDoom/Novarg est un virus du type ver existant sous différentes variantes. Il se propage par les messageries ou les logiciels de peer to peer comme Kazaa. <BR>La meilleure façon de se protéger est de ne pas ouvrir de pièces jointes provenant d’un courriel dont l’objet, l’expéditeur ou le corps du message sont douteux. <BR> <BR> <BR>De : L'adresse de l'expéditeur peut être usurpée <BR> <BR>Objet : (L'un des suivants) <BR>test <BR>hi <BR>hello <BR>Mail Delivery System <BR>Mail Transaction Failed <BR>Server Report Status Error <BR>Message : (L'un des suivants) <BR>Mail transaction failed. Partial message is available. <BR>The message contains Unicode characters and has been sent as a binary attachment. <BR>The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. <BR> <BR> <BR> <BR> <BR>Comment savoir si votre ordinateur est infecté par Mydoom.B ? <BR> <BR>Pour savoir si votre ordinateur est infecté, suivez la procédure suivante : <BR> <BR>Pour Windows 9x/NT 4.0/2000/XP/2003 <BR>Cliquez sur Démarrer puis sur Exécuter. <BR>Saisissez cmd puis cliquez sur OK. <BR>Saisissez la commande suivante <IMG SRC="images/smiles/icon_biggrin.gif">ir ctfmon.dll /a /s et appuyez sur Entrée. <BR>Si le résultat est Aucun fichier trouvé, votre ordinateur n’est pas infecté par Mydoom.B <BR>Si le résultat est Fichier trouvé et qu’un fichier apparaît avec sa taille (Voir image ci-contre), votre ordinateur est infecté. Suivez alors la procédure de suppresion. <BR> <BR> <BR> <BR>Suppression manuelle du virus MyDoom <BR>Pour les utilisateurs de Windows Me & Windows XP, il est fortement conseillé de désactiver la restauration système. <BR> <BR>Sous Windows XP : <BR>Faites un clic droit sur Poste de travail <BR>Cliquez sur Propriétés. <BR>Cliquez ensuite sur l’onglet Restauration système <BR> <BR>Cochez la case Désactiver la restauration système sur tous les lecteurs. <BR>Cliquez ensuite sur OK <BR>Windows vous demande alors de confirmer la désactivation de la restauration système, cliquer sur Oui. <BR> <BR> <BR> <BR>Sous Windows Me (Millenium Edition) / <BR>Cliquez sur Paramètres, puis cliquez sur Panneau de configuration. <BR>Faites un double clic sur Système <BR>Cliquez sur l’onglet Dépannage <BR>Cliquez ensuite sur Désactiver la restauration système. <BR>Cliquez sur OK, puis Fermer. Cliquez sur OK lorsque vous êtes invité à redémarrer. <BR> <BR> <BR>Désactiver le ver MyDoom sous Windows 9x /NT/2000/XP/2003: <BR> <BR>Pour désactiver le ver MyDoom sous Windows 9x /NT/2000/XP/2003: il vous faudra éditer le registre système. <BR>Lancez l’éditeur de registre : Démarrer, Exécuter, taper regedit <BR> <BR>Cherchez la clé suivante : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun <BR>Dans le volet de droite : <BR>Supprimez la valeur suivante : "Taskmon"="%System%taskmon.exe" (apparaît avec MyDoom.A) <BR>Supprimez la valeur suivante : "Explorer"="%System%explorer.exe (apparaît avec MyDoom.B) <BR> <BR> <BR> <BR> <BR> <BR>Puis cherchez la clé suivante : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun <BR>Dans le volet de droite : <BR>Supprimez la valeur suivante : "Taskmon"="%System%taskmon.exe" (apparaît avec MyDoom.A) <BR>Supprimez la valeur suivante : "Explorer"="%System%explorer.exe (apparaît avec MyDoom.B) <BR> <BR> <BR> <BR> <BR> <BR> <BR>Ceci désactive le virus au démarrage de la machine. <BR> <BR>%System% représente l’emplacement du dossier System : <BR> <BR>Sous Windows 9x il s’agit de C:Windowssystem <BR>Sous Windows NT/2000 il s’agit de C:WinntSystem32 <BR>Sous Windows XP/2003 il s’agit de C:WindowsSystem32 <BR> <BR> <BR>Supprimez la clé suivante : (Apparaît avec MyDoom.A) : HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version <BR>Faites un clic droit sur Version et choisissez Supprimer <BR> <BR> <BR> <BR> <BR> <BR>Supprimez la clé suivante: (Apparaît avec MyDoom.A): HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version <BR>Faites un clic droit sur Version et choisissez Supprimer <BR> <BR> <BR> <BR> <BR> <BR>Cherchez la clé suivante : (Apparaît avec MyDoom.A et MyDoom.B): HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32 <BR> <BR>Remarque: afin de trouver rapidement cette clé, il est recommandé d’utiliser la fonction Recherche. <BR>Sélectionnez la ruche suivante : HKEY_CLASSES_ROOT <BR>Cliquez sur Edition puis Rechercher <BR>Tapez le texte suivant : E6FB5E20 <BR>Cliquez sur Suivant <BR> <BR>Faites un double clic sur la clé trouvée puis sélectionnez InProcServer32 <BR> <BR> <BR> <BR> <BR> <BR>Si vous avez Windows NT/2000/XP/2003 <BR>Dans le volet de droite, cliquez deux fois sur (par défaut) <BR>Dans le champ Données de la valeur, remplacez le texte par celui-ci :%SystemRoot%System32webcheck.dll <BR>Cliquez sur OK. <BR> <BR> <BR>Si vous avez Windows 95/98/Me <BR>Dans le volet de droite, cliquez deux fois sur (par défaut) <BR>Dans le champ Données de la valeur, remplacez le texte par celui-ci:WindowsSystemwebcheck.dll <BR>Cliquez sur OK. <BR>Quittez l’Editeur du Registre. <BR> <BR> <BR> <BR>Restauration du fichier hosts (Avec MyDoom.B) <BR>Le fichier hosts contient la liste des sites web mis en cache manuellement. <BR>Lorsque que vous naviguez sur un site, l’ordinateur vérifie que l’adresse du site web est enregistrée dans le fichier hosts puis se connecte au site web avec les informations trouvées. <BR>Le ver MyDoom.B ajoute au fichier hosts des adresses invalides. <BR> <BR>Ouvrir le bloc-notes : Démarrer Exécuter taper notepad <BR>Cliquez sur Ouvrir Et sélectionnez le fichier hosts <BR> <BR> <BR>Si vous avez Windows 9x : Le fichier hosts se trouve dans C:Windows <BR>Si vous avez Windows NT/2000: le fichier hosts se trouve dans C:WinNTSystem32DriversEtc <BR>Si vous avez Windows XP/2003 : le fichier hosts se trouve dans C:WindowsSystem32DriversEtc <BR> <BR> <BR>Supprimez ensuite toutes les lignes contenant une entrée commençant par l’adresse IP suivante 0.0.0.0. <BR>Exemple : <BR>0.0.0.0 <!-- BBCode auto-link start --><a href="http://www.microsoft.com" target="_blank">www.microsoft.com</a><!-- BBCode auto-link end --> <BR>0.0.0.0 download.microsoft.com <BR> <BR> <BR>Cliquez sur Fichier puis Enregistrer, puis quitter le bloc-notes. <BR> <BR> <BR>Suppression des fichiers infectés <BR> <BR>Les éditeurs d’antivirus ont publié des outils de réparation afin d’éliminer les différentes versions de MyDoom : <BR>Symantec <BR>F-Secure <BR> <BR> <BR> <BR> <BR> <BR>Supprimer MyDoom C : <BR>1. Utilisez le gestionnaire des tâches pour terminer le processus intranet.exe qui tourne sur votre machine. <BR>2. Supprimez le fichier intranet.exe du dossier %windir%system32 (pour Windows NT, Windows 2000, Windows XP) ou %windir%system (Windows 95/98/ME). <BR>3. Avec l'éditeur de registre, supprimez les clés suivantes : HKey_Local_Machinegremlin HKey_Current_User, Keygremlin. <BR>4. Supprimez le fichier sync-src-1.00.tbz à la racine de chacun des disques ainsi qu'à la racine du profil de l'utilisateur. <BR> <BR>

[xenovong]

yop <BR> <BR>le mieux pour se désinfecter des virus, c'est de se procurer les patchs nécessaires, <BR>puis de se déconnecter de tous réseaux (LAN et/ou Net), <BR>ensuite reboot en mode sans échec, <BR>et lancer et appliquer les patchs... <BR> <BR>voilà, en espérant que ça va t'aider ...

[dufrma]

Salut a tous, <BR>Xenovong, pourquoi il faut mieux se mettre en mode sans echec? <BR>Merci a plus. <BR>

[J2M57]

Merci pour les indications <BR> <BR>En fait, j'ai recherché les fichiers cmd et ctfmon.dll ( ou à peu près ça ) et je n'ai rien trouvé donc j'en conclus que je ne suis pas infecté. <BR> <BR>J'ai encore un petit doute mais il va se dissiper. <BR> <BR>Bonne soirée. <BR> <BR>J2M57

[micjack]

J2M57, j'ai bien recu ton mail et visiblement tu n'est pas infecté, <BR> <BR>Cela dit je te conseil de desactiver la restauration de Windows, de vider le cache internet et le repertoire temp dans les profiles ainsi que la mise en quarantaine de ton AV avant de relancer le scan de ton antivirus <IMG SRC="images/smiles/icon_smile.gif"> <BR>