Vous n'êtes pas connecté.
Salut,
j'ai un soucis avec le ver MyTob.
Il crée à chaque démarrage c:\hellmsn.exe que mon anti-virus élimine ms à chaque démarrage il réapparait.
J'ai lu ds le forum Discussions générales le topic concernant les exécutions automatiques et je trouve aucune trace du ver parmi ts les endroits ou il faut chercher.
J'ai parcouru le net ss plus de réussite.
J'ai utiliser les outils de Microsoft, Symantec et Mcaffee qui me trouvent le ver ds le fichier c:\hellmsn.exe qui le nettoie (en le supprimant) ms à chaque démarrage de windows il réapparait.
Ma question est simple, comment faire pr éradiquer ce process de recréation?
Merci beaucoup pr vos réponses.
Hors ligne
Bonjour
As-tu penser à désactiver la restauration système ?
Si non, voici les démarches à suivre avant chaque désinfection pour Windows XP :
1) Cliquer avec le bouton droit sur l'icônes "Poste de travail", puis cliquer sur "Proppriétés".
2) Cliquer sur l'onglet "Restauration du système".
3) Cocher la case "Désactiver la Restauration du système".
4) Cliquer sur "Appliquer".
5) Dans la fenêtre qui apparaît, cliquer sur "Oui". Puis cliquer sur "OK".
Pour Windows Me :
1) Cliquer avec le bouton droit sur l'icônes "Poste de travail", puis cliquer sur "Proppriétés".
2) Cliquer sur l'onglet "Performances".
3) Cliquer sur le bouton "Système de fichiers".
4) Dans l'onglet "Dépannage", sélectionner "Désactiver la Restauration du système".
5) Cliquer sur "OK", puis sur "Oui" pour redémarrer.
Relance ensuite ton anti-virus, redémarre et relance la recherche de virus. En théorie, ton anti-virus ne devrait plus rien trouver.
Pense ensuite à réactiver la restauration système.
Hors ligne
oui avant d'utiliser ts ces outils j'ai bien penser à désactiver la restauration système...
Hors ligne
Mytob utilise la faille LSASS pour se répandre via le port TCP 445. Peut-être que ton système est encore vulnérable à cette faille et donc que le virus revient sans cesse ?
Essaye d'appliquer le patch de Microsoft : http://www.microsoft.com/technet/securi … 4-011.mspx
Pour plus d'infos sur la variante A de Mytob: http://www.virustraq.com/info_virus/10109/
Une autre astuce... Essaye de le supprimer et de débrancher ta connexion internet pour voir si il revient.
Hors ligne
j'ai appliqué le correctif de Microsoft avant de poster le message hier.
J'ai essayé de débrancher ma connection internet mais malheureusement il se repointe tjs au démarrage.
La j'avoue je commence à me poser de sérieuses questions sur la manière d'enlever ce ver!
J'aimerai pourtant trouver une soluce avant le formatage!
Du coup j'ai une autre question. Je présume que
le fait d'effacer ce fichier c:\hellmsn.exe où l'antivirus trouve le virus ne supprime pas l'activité du ver (utilisation de l'internet pr se répandre....)?
Hors ligne
Essaye de démarrer ton pc en mode sans echec pour voir si le ver se lance également (normalement il ne devrait pas).
Ensuite dans la base de registre ce n'est pas le fichier "hellmsn.exe" qu'il faut rechercher mais un fichier qui dépend de la variante de Mytob.
Par exemple pour Mytob-A il faut faire une recherche dans la base de registre du fichier "msnmsgr.exe" qui se cache dans le répertoire "C:\Windows\System".
Bref, tout dépend de la variante qui t'infecte. Ton antivirus te dit quoi exactement ?
Hors ligne
Je suis désolé faut que je me sauve.
J'essaie de donner les infos ds la journée car je ne sais plus si c'est Mytob-A ou Mytob-K!
Bref si c'est le MyTob-A, je détruis le fichier c:\windows\system\msnmsgr.exe et je nettoie la base de registre concernant ce fichier?
Merci pr ttes les infos
Bonne journée
Hors ligne
dadaglou a écrit:
Bref si c'est le MyTob-A, je détruis le fichier c:\windows\system\msnmsgr.exe et je nettoie la base de registre concernant ce fichier?
Exactement! Si c'est une autre variante de Mytob, n'hésite pas à nous demander, on te donnera le nom de fichier de cette bestiole
Bonne journée à toi aussi...
Hors ligne
bon alors en fait le ver c'est :
W32/Mytob.worm
reconnu par Mcafee.
Hors ligne
Selon la description de McAfee (http://fr.mcafee.com/virusInfo/default. … s_k=132158), ce Mytob se copierai dans le répertoire c:\windows\system32 sous le nom de fichier "wfdmgr.exe" puis s'ajouterai à la base de registre aux emplacements suivants :
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "LSA" = wfdmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "LSA" = wfdmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices "LSA" = wfdmgr.exe
Il pourrait également ajouter les entrées suivantes :
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa "LSA" = wfdmgr.exe
HKEY_CURRENT_USER\Software\Microsoft\OLE
"LSA" = wfdmgr.exe
Essaye déjà de voir si le fichier "wfdmgr.exe" est présent sur ton système.
Hors ligne
pas de trace de ce fichier "wfdmgr.exe" ds mon system
Hors ligne
Tu trouveras ici :
http://www.virustraq.com/ressource/telechargement/36/
un utilitaire bien pratique pour la désinfection du ver Mytob. Désactive la restauration système avant
Hors ligne
Bonjour, j'ai le ver Mytob BE, alors mon soucis est un peu comme celui de dadaglou, j'aimerais savoir si quelqu'un peut me filer le fichier FixMytob.exe car il n'est plus dispo sur le site symantec.
Mon msn c'est j3distyl3@hotmail.com
Merci
Hors ligne
.:@GiO:. a écrit:
J'aimerais savoir si quelqu'un peut me filer le fichier FixMytob.exe car il n'est plus dispo sur le site symantec.
Je viens de tester et depuis le lien donné par Yann (http://www.virustraq.com/ressource/telechargement/36/) ca fonctionne parfaitement.
Essaye encore une fois et si ca ne fonctionne pas je t'envoi le fichier par mail.
Hors ligne
Grégory a écrit:
Je viens de tester et depuis le lien donné par Yann (http://www.virustraq.com/ressource/telechargement/36/) ca fonctionne parfaitement.
Essaye encore une fois et si ca ne fonctionne pas je t'envoi le fichier par mail.
Je le veux bien car "Impossible d'afficher la page" depuis deux jour pour moi !!
Je te remercie d'avance
Hors ligne
.:@GiO:. a écrit:
Je le veux bien car "Impossible d'afficher la page" depuis deux jour pour moi !!
Voila qui est fais mais je crois savoir pourquoi tu ne peux pas télécharger ce fichier.
Va voir dans ton fichier Hosts (à l'emplacement suivant : C:\%Windows%\system32\drivers\etc\hosts), Mytob l'a peut-être modifié pour empêcher l'accès à certains sites.
Je te copie/colle un fichier Hosts conforme :
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x
127.0.0.1 localhost
Tiens nous au courant.
Hors ligne
Oui tu as raison, il avait bloqué l'acces au page pour télécharger, Fixmytob, en modifiant le fichier host comme tu me l'as indiqué, tout fonctionne, je te remercis beaucoup
Arnaud
Hors ligne
.:@GiO:. a écrit:
Oui tu as raison, il avait bloqué l'acces au page pour télécharger, Fixmytob, en modifiant le fichier host comme tu me l'as indiqué, tout fonctionne, je te remercis beaucoup
Il n'y a pas de quoi
Tu as quand même réussi à te désinfecter ?
Hors ligne