Virus WORM/AGOBOT.12.BX

[kinette]

Et les autres ordi du réseau local, ils ont les mêmes problèmes ?

Oui, enfn ça dépend des ordis...
On en a qui sont apparemment indemnes et d'autres dans mon équipe qui ont eu les mêmes merdes...
De plus on a des ordis de la fac qui essayent sans arrêt de se connecter sur les autres (enfin apparemment aujourd'hui c'est plus calme, il y a dû y avoir un peu de nettoyage).

Parce qu'il n'y a aucune raison que tu attires les virus et vers, comme une tartine de confiture abandonnée sur une table de camping attire les abeilles.

Ben c'est ce que je me dis... mais je ne trouve pas l'origine du problème...

As-tu des répertoires partagés avec le réseau sur cette machine ? Si oui, supprime tous les partages.

J'ai tout vérifié un par un (je vais peut-être recommencer des fois qu'il y ait eu des changements qui ne viennent pas de moi...).

Netsky p et Q ne peuvent arriver que par des mails. Donc ce n'est pas de la génération spontanée. Ou bien il faut cliquer sur le document attaché, ou bien Internet Explorer et Outlook Express ne sont pas à jour, et là il n'est pas nécessaire de cliquer sur le document attaché (mais cela fait longtemps que la faille est connue et corrigés).

Bon là en fait mon NA les bloque... mais il en arrive sans arrêt, et ils sont dans la corbeille de virus (pas moyen de les supprimer définitivement; je suppose qu'il faut que j'utilise les "removal tools" en mode sans échec mais j'en ai marre de redémarre mon ordi plusieurs fois de suite vu qu'il se bloque toujours au premier démarrage).

Par contre Kelkio, je ne connais pas et une recherche sur reverse.planete.com est infructueuse.

Euh, je me suis trompée de nom c'est Kerio... d'ailleurs quand je clique sur "aide" pour en savoir plus le logiciel plante...

Bon apparemment la dernière mise à jour de NA me permet enfin de virer tous les virus mis en quarantaine...
Peut-être la fin de mes problèmes?

K.i a encore été déconnectée du forum juste avant de poster, grrrr
-----

[JPL]

Bon là en fait mon NA les bloque... mais il en arrive sans arrêt, et ils sont dans la corbeille de virus (pas moyen de les supprimer définitivement;

Ils arrivent où ? Dans des mails ? C'est hélas normal. Par contre est-ce que cela signifie que NA surveille les mails entrant (dans Outlook Express ?). Si c'est le cas, c'est une mauvaise idée. Comme les messages contenant des vers sont identifiables sans aucun problème, le mieux est de les jeter à la main sans ouvrir les pièces attachées et sans faire vérifier son courrier par l'antivirus. C'est ce que je fais sans avoir aucun problème et donc sans aucune alerte de mon antivirus.
La corbeille à virus, c'est la quarantaine de NA je pense ? Quand les virus sont là, ils sont en cage et ne peuvent pas nuire. Il y a une option dans NA pour la vider.
Kerio, c'est un firewall qui a très bonne réputation. Je ne l'ai jamais expérimenté, mais il doit avoir des réglages par défaut et ensuite il suffit au coup par coup quand il le demande, de dire si oui ou non on accepte le type de connexion qu'il signale.

[kinette]

Ils arrivent où ? Dans des mails ? C'est hélas normal. Par contre est-ce que cela signifie que NA surveille les mails entrant (dans Outlook Express ?).Si c'est le cas, c'est une mauvaise idée.

J'utilise Eurdora pro... qui me met les fichiers attachés dans un dosier "normal" (accessible pas l'explorer), d'où le filtrage par Norton.
Maintenant pour ce genre de vers le problème a l'air réglé...
Je n'ai jamais ouvert de mails suspect.

Comme les messages contenant des vers sont identifiables sans aucun problème, le mieux est de les jeter à la main sans ouvrir les pièces attachées et sans faire vérifier son courrier par l'antivirus. C'est ce que je fais sans avoir aucun problème et donc sans aucune alerte de mon antivirus.

C'est ce que j'ai toujours fait pour les virus non identifiés par NA.

La corbeille à virus, c'est la quarantaine de NA je pense ? Quand les virus sont là, ils sont en cage et ne peuvent pas nuire. Il y a une option dans NA pour la vider.

Avant ma dernière mise à jour, NA refusait de les supprimer définitivement...

Kerio, c'est un firewall qui a très bonne réputation. Je ne l'ai jamais expérimenté, mais il doit avoir des réglages par défaut et ensuite il suffit au coup par coup quand il le demande, de dire si oui ou non on accepte le type de connexion qu'il signale.

Oui ça a l'air pas mal... sauf qu'une fois une connection acceptée, je ne trouve pas du tout où on peut la refuser (si on a fixé une règle d'acceptation)...

K.

[kinette]

une recherche sur reverse.planete.com est infructueuse.

Après vérification l'adresse est reverse.theplanet.com

Je rajoute cet AVERTISSEMENT: n'allez pas sur ce site si vous n'êtes pas absolument certain d'être protégé contre les virus (et encore...). Apparemment ce site n'est pas clair, cf. message de JPL qui suit.
K.

[JPL]

Qu'est-ce que c'est cette s......perie ? J'ai essayé d'aller voir et mon écran n'affichait rien tandis que le témoin de mon firewall m'indiquait que ça téléchargeait dur. Pris d'inquiétude je n'ai donc pas attendu et j'ai voulu arrêter IE : impossible et il a fallu un Ctrl-Alt-Sup. Je vais passer tous mes anti-sywares sur ma machine !!!!! Je me fais peut-être des idées, mais je n'ai pas aimé ça.
Si quelqu'un en sait plus sur ce site, je suis preneur d'informations.

[kinette]

Un autre site qui a aussi été détecté par mon Kerio est quelque chose comme "whitehat.com" (j'ai malencontreusement effacé l'historique de Kerio, mais si ça intéresse certains je peux rechercher).

En tout cas mes problèmes semblent enfin réglés, ouf!!! Et j'ai même réussi en bidouillant dans Kerio à pouvoir à nouveau imprimer.

J'ai aussi désactivé le processus wuault.exe ne sachant pas si j'avais affaire à un cheval de Troie au au vériable Windows update (que je ferai de toute façon manuellement).

Donc finalement Kerio c'est bien et NA semble avoir enfin des mises à jour efficaces!!!

K.i doit préparer son oral de thèse et n'a pas trop la tête à ça

[invite30ba1057]

Depuis 2 jours, si je remplissais un formulaire mail sur une page web (utilisant outlook donc) j'avais un message d'outlook me disant "un programme tente d'envoyer des données en votre nom", en sus de l'envoi du formulaire.

Diable, pensai-je, virus ?

Mon anti-virus (à jour) ne m'ayant rien dit, je suis allé faire un housecall, qui lui m'a trouvé et effacé un certain Bagle-GEN1.

Question : j'ai un firewall (ZoneAlarm) sur le mode parano, un antivirus (AVG) résident qui scanne tout (emails, traffic des pages webs en direct, fichiers .dat et autres .tmp des p2p), et je suis prudent : avant de recevoir mes mails (les vrais) je vire tout le spam et le courrier suspect du serveur avec PopTray.

Alors comment il est venu lui ? Mail ? Impossible je dirais, dans mon cas. Page web ? Si c'est le cas, comment on peut en trouver l'origine ?

Je ne peux pas augmenter la sécurité de mon firewall, déjà là, en mode parano, ça me pose des questions dès que je veux afficher une page, ou faire quoique ce soit (d'autant plus que je passe par un routeur sur réseau local, double question ...).

Que faire donc ?

[JPL]

Il y a tellement de versions de Bagle (Bagle.gen veut simplement dire que l'AV ne s'est pas fatigué à déterminer quelle version c'était) que c'est difficile de s'y retrouver. Je suis perplexe parce que pour les versions dont j'ai regardé les caractéristiques, cela se transmet uniquement par mail (au fait ton Windows et ton Outlook Express sont bien à jour ?). De plus Bagle possède son propre moteur SMTP et ne se sert donc pas d'Outlook Express à ma connaissance pour envoyer ses mails.
??????????????????

[invite37693cfc]

lut

comme le dit JPL c'est par mail mais si tu a récupérer un fichier infesté tu peux aussi l'avoir. Vérifiez les extensions suivantes :
(ceux en couleurs c'est ce que tu peux rencontrer sur certains sites...)
.wab
.txt
.msg
.htm
.shtm
.stm
.xml certains flux d'infomations sont infestés
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

[invite30ba1057]

Hum, oui, un de mes clients avait été contaminée jadis par bagle, y'a longtemps, j'avais bien recu un mail infesté mais mon AV l'avait bloqué.

Pour les updates : outlook faisant partie d'office xp, oui, le sp3 est installé et je fais aussi les updates dites "outlook express" qui concernent (des fois) outlook pas express ..

Quant à windows, j'ai posté par ailleurs un "windows update fait son caprice". Quelqu'un m'a sarcastisquement répondu "fallait acheter windows" (je résume), hors, je l'ai bien acheté, mon windows, j'ai bien le cd plein de trucs holographiques, c'est pas un gravé, c'est pas une copie, rien, d'ou mon post ...

Pour les extensions de fichiers, mon AV scanne TOUT, systématiquement (c'est plus long, mais c'est mieux ).

[invite5eb13cb6]

Pour en revenir à mon petit virus, il vient de me bousiller ma carte mère....
C'est pour ça que je ne peut plus venir sur futura!

[JPL]

Pour en revenir à mon petit virus, il vient de me bousiller ma carte mère....

Non, certainement pas Agobot, ou alors il faut me le prouver avec une étude publiée par un éditeur de virus !

[invite38685413]

WindowsKP-KB824146-x86-FRA.exe est une mise à jour de windows

[invite03f54461]

Slu
Arg, me suis farci Agobot_BQ en ouvrant un lien d'un mail censément expédié par un correspondant connu.
Vacherie, ça inactive l'antivirus, et bloque l'accès des sites à scan de virus, la totale, quoi
Après tentative d'éradication, l'ordi n'arrête pas de boguer, fait foirer les installeurs, plante quand j'essaie d'ouvrir panneau de configuration
donc reformatage et réinstall ça prend la journée entière
J'en profite pour repartitionner : 10 gigas pour une partion système qui a windows et les logiciels qui ont besoin de dll dans windows pour fonctionner, 5 gigas pour les logiciels qui n'ont pas besoin de windows pour fonctionner, tous les documents vitaux sont carrément sur un autre DD

[invite709d00f2]

j ai egalement un probleme bizzarre avec outlook express

j ai souscrit a l antivirus de Wanadoo 6€/mois depuis le 26/06 et depuis je n arrete pas de recevoir des messages comme si c est moi qui envoyait des messages contenant W32.MYDOOM à pleins de gens.
bien sur l antivirus Wanadoo les arrete et met les pieces jointes en quarantaine.
seulement j ai passe plusieurs patchs de recherche d antivirus : securitoo et norton et ils ne trouvent pas de virus dans mon ordinateur;
je ne sais pas quoi faire. est-ce que changer d adresse mail serait une solution ?
Excusez moi de passer mon message sous une reponse a votre message mais je ne sais pas ou poser mon nouveau message

merci

[invite3bc71fae]

Ne t'en fais pas, ce n'est pas toi qui envoie les e-mails infectés, mais quelqu'un qui te possède dans son carnet d'adresses et qui lui est infecté. Il envoit donc des fichiers infectés à ton nom.
La seule solution est d'alerter les gens qui sont dans ton propre carnet et de leur demander de vérifier eux-aussi qu'ils ne sont pas infectés.