trucs et astuces Astuces Opera

HOAX & VIRUS

"L'hoax y gêne,
mais le virus est rosse"



 visites

INTERNET
VIRUS
WINDOWS

VIRUS ACTU

alertes virales mises à jour
en direct...


Plus de détails...


ainsi que sur la page de discussion de F-Secure


Oups, ca coince !
Bon, c'est parfois un logiciel qui bugge tout seul comme un grand (ici, le correcteur Hugo), mais si votre clavier, votre écran ou votre disque dur se mettent à faire des choses bizarres ou imprévues, méfiance !
POUR VIVRE HEUREUX, VIVONS CACHÉ

ou :
petite purge salutaire


cure

Votre boîte aux lettres est envahie de spams, hoaxes, virus, troyens, vers et autres déchets-déchiants ?

Pas de panique : faites ce petit test.

Sans même changer d'adresse ni prendre une adresse anonyme, videz le cache de votre navigateur Internet, supprimez tous les cookies.

Éventuellement procédédez à une grande lessive avec un logiciel gratuit comme Ad-Aware, puis (c'est là l'essentiel et le plus difficile, pour les accros), donnez-vous quelques jours à naviguer sur le net et collecter votre courrier

mais...

SANS JAMAIS répondre à un message, une offre, une contribution, ni intervenir de quelque façon que ce soit sur un forum, un chat...

Bref, contentez-vous d'observer sans toucher (évitez également dans la mesure du possible les téléchargements).

Miracle : vous allez découvrir sous peu que votre boîte aux lettres est de nouveau propre et bien vite vous serez redevenu un visiteur anonyme sur le Net.

Renouveler régulièrement cette petite cure salutaire (autant du reste pour votre ordinateur que vos neurones).
SIRCAM & Co NOUS FONT LEUR CIRQUE
ou : BadTrans et bad vibes (:-\


On ne le répétera jamais assez :
  • la première précaution élémentaire est de NE JAMAIS ouvrir une pièce jointe avec double extension... On répète après moi : NE JAMAIS ouvrir une pièce jointe avec double extension.
  • La seconde est d'éviter d'ouvrir un courrier commençant par "Hi ! How are you ?" surtout si l'on ne parle pas anglais ou l'on n'a pas de correspondant à l'étranger...
  • La troisième est de cesser une bonne fois pour toutes d'utiliser les logiciels de Bill Gates, Internet Explorer et surtout le calamiteux Outlook Express qui sont de vraies passoires... le pompon étant désormais tenu par Windows XP - voir à ce sujet la page édifiante de Gibson Research sur les navrantes failles de sécurité d'XP.
  • Si pour une raison quelconque (flemme, supérieur hiérarchique, cybermasochisme ancré), on continue de se laisser faire des Billgateries, prendre toutes les précautions possibles :
    • patches logiciels - comme celui qui évite à Internet Explorer d'ouvrir automatiquement les fichiers attachés, à télécharger sur Windows critical update.
    • configurer IE ou Outlook avec la sécurité maximale (ouverture des fichiers en mode TXT et non HTML)
  • installer un pare-feu (nombreux sont gratuits comme ZoneAlarm et se configurent automatiquement)
  • mettre à jour son antivirus...
  • Choisir des logiciels encore relativement protégés (Opera pour naviguer, Foxmail (personnellement, mon préféré) The Bat pour le courrier, ces derniers ayant trois avantages insignes :
    1. pouvoir lire les en-têtes de mail sur le serveur et les effacer directement sans les télécharger.
    2. pouvoir lire les mails en mode texte exclusif (en isolant totalement la partie HTML) : beaucoup de vers arrivent en effet sous forme de pages HTML qu'Outlook ou IE ont la sale manie d'ouvrir automatiquement...
    3. enregistrer le carnet d'adresses et la base de données de votre courrier sous un format que les Troyens ont (encore) tendance à négliger (ils se polarisent sur le format et les dossiers d'Outlook et Eudora).
  • Précaution supplémentaire (mais relativement efficace) : à l'installation d'un logiciel Microsoft, éviter dans la mesure du possible l'installation dans le répertoire par défaut - typiquement :
    c:\Program Files\nom_du_programme\programme.exe
    Préférer un dossier du genre :
    c:\progs\utils ou c:\progs\net par exemple.
    Certains vers ont tendance à balayer le disque en commençant par la racine, les répertoires système et les dossiers par défaut (Windows, Win, Program Files) et les plus bêtes ne vont pas plus loin. A défaut, cela laisse toujours un bref répit (dès qu'on voit clignoter de manière erratique la diode de lecture du disque dur), pour intervenir en lançant l'antivirus ou en quittant le système.
    En outre, cela facilitera en plus grandement une récupération éventuelle sous DOS en évitant l'affichage de répertoires tels que:
    c:\Program~1\nom_du~1\progra~1.exe
Presque chaque semaine apparaît un nouveau SIRCAM, par exemple BadTrans.B qui se présente sous forme de pièce jointe avec une double extension (mp3.src, doc.pif, zip.src par exemple). Mais on peut voir ci-dessus qu'en ce domaine, il y a du nouveau tous les jours... (:-\ Le sujet du message est une réponse sans intitulé (Re: ligne vide), et l'auteur est ADMIN, administrator, Support mais aussi bien souvent, Tina, Andy, Kelly, Jessica, Judy ou Joanna, prétendument logés chez AOL, Yahoo ou à l'université du Texas.
Et de fait, dès le matin du 27/11, je recevais d'un illustre inconnu un message avec un fichier attaché mp3.src... Un fichier musical accouplé à un économiseur d'écran (le tout jamais demandés, bien sûr), plutôt louche, non ? Donc, direction : poubelle*. Le lendemain, c'était Jessica Benavides qui m'envoyait un aguichant "Me_nude" que je me suis bien gardé de contempler. Depuis, on m'a proposé tout un tas de trucs que je me suis empressé de virer. Sans compter tous ceux que j'ai pris soin de filtrer dès le serveur et n'ai donc pas reçus.

* à savoir: ENVOYER dans la poubelle du courrier, puis VIDER la poubelle du courrier, puis COMPACTER la base de données du courrier. Plus radical encore : faire "maj+suppr" ("shift+delete") sur le courrier indélicat. On l'efface ainsi directement sans paser par la case corbeille.
RETOUR SUR Sirc32 AVEC QUELQUES ECLAIRCISSEMENTS SUPPLEMENTAIRES

>Bonjour,
Je suis étudiant en pharmacie et j'ai subi ce matin les assauts répétés de sircam sur la machine que j'utilise dans mon hôpital...

>salut
je tecris du canada et je suis un etudiant francais et comme je suis ici pour un semestre detudes eh bien jai apporte mon portable avec moi et le probleme cest que jai ete infecte par le virus sirc32

>bonjour,
je me suis rendu sur ton site car j'ai un probleme avec un virus nommé Sirc32.exe. Virus que tu connais bien d'ailleurs.

>j'ai tenté d'utiliser vos astuces, mais apparemment le ver a grandi, on ne peut démarrer sous DOS...

Donc, ci-dessous, un petit récapitulatif, après avoir répondu individuellement à tous. Veine, ils disposaient d'une autre machine pour pouvoir mailer et surtout récupérer une disquette de démarrage et/ou nettoyage... (comme d'hab, c'est ce qu'on oublie toujours alors que c'est la toute première chose à faire dès le premier démarrage de son ordi).


^ Nom = gavaga
Pays = centre france
commentaires = Mon problème (de virus ou de registre), en bref :
bonjour,
j'ai recu un courrier que j'ai ouvert, et que j'ai vite refermé car rien ne s'affichait en regardant dans "chercher les virus" de mon serveur de courier j'ai vu que j'avait récupéré worm-klez.h
j'ai envoyé à la poubelle et vidé la poubelle.
ensuite dans chercher les virus plus rien n'apparait, est-il parti?
Ou récuperer un patch pour réparer?
comment ce virus agit-il?
merci

bonjour
si vous avez effacé le courrier sans l'ouvrir, aucun risque ! le ver aura disparu avec le mail effacé. Si votre antivirus est à jour et n'a rien détecté : pas de problème.
Enfin, pour plus de sûreté, vous pouvez télécharger entre autres sur le site de Symantec, un petit patch "fixklez" qui vous débarrassera de tout souci: Cliquer ici

^ J'ai été visiblement infecté. Que s'est-il passé, sachant qu'à priori il n'y a jamais eu utilisation faite de la messagerie Outlook mais seulement consultation des mails sur le net par mon équipe, et peut être qq disquettes ?

La réponse à la question est dans ces "qq disquettes" : C'est comme avec le VIH. Une seule fois suffit. Et pour le mail, êtes-vous sûr que personne n'utilise Outlook Express sur la machine ou sur le réseau auquel elle est éventuellement raccordée ? Cela dit, sircam se propage fort bien sans passer par les contrôles active-X d'I Explorer et Outlook (y compris avec Eudora).

^ SALUT , je suis aller sur ton site, car j'ai un problem, j'ai été infecté par le virus, et g suprimé le fichier SIRC32 ne sachant pas ce que c t. Comme tu t'en doute, mon ordi déconne a plein tube now. J'aimerai savoir avant de réinstaller windows, si il est pas possible de trouver ce fichier quelque par.
J'aimerai savoir ossi si c possible qu'un ami a moi me l'envoi, meme si il na pa la meme version de window.
merci d'avance.

Tu blagues ou quoi ? (:-\ Bon, inutile qu'un ami te le renvoie... c'est déjà fait : SIRC32 est le fichier créé par le ver. Tu es toujours infecté et ce n'est pas en l'effaçant que tu l'éradiqueras. Relis bien cette page, clique sur les liens, tu auras toutes les explications voulues...

^ "Mon probleme est que j'ai ete infecte par le virus sirc32. Je l'ai effacé = grosse erreur : Maintenant à chaque fois que je lance une application ça marche pas..."

Normal. Du reste, sirc n'est pas un virus mais un ver : il se propage en se collant à un autre fichier et n'entre en action qu'ensuite. Le problème du ver sircam et de ses épigones, c'est qu'il arrive sur le web avec un fichier attaché masqué pris au hasard (et à son insu) dans le disque dur de l'émetteur. De sorte que l'infecteur et l'infecté peuvent ne pas se rendre compte qu'ils propagent l'infection.
Donc, se méfier toujours des mails dont la taille est inhabituelle, qui mettent du temps à se charger, qui font tourner le DD à la réception (la diode clignote). Idem à l'émission : si tu envoies un mail de 10 lignes et qu'il met trois minutes à s'uploader, il y a un pb...
Et éviter dans la mesure du possible de faire des mailings (pour avertir qu'un nouveau virus - ou un nouveau canular - se propage).

^ Ma machine est bloquée, j'ai essayé de lancer mon antivirus, mais impossible de démarrer une application...

Normal : sirc se loge dans la corbeille et de là, modifie la base de registre Windows pour empêcher l'exécution des programmes : quand on clique sur un fichier *.exe, au lieu de pointer sur le shell d'exécution de Windows, on est renvoyé vers sirc qui en profite pour se dupliquer... Donc, quelque soit l'action exécutée sous Windows, (effacer, renommer, déplacer...) on propage l'infection. Quant aux programmes un peu plus élaborés, ils refusent de s'exécuter en indiquant qu'"aucune application n'est associée à ce fichier".
Seule solution :
créer sur celle-ci une disquette de boot avec un anti-virus (RECENT, jusqu'en septembre, Virusscan de MacAfee ne reconnaissait pas la signature de ce ver). Si l'on n'a pas d'antivirus sous la main, redémarrer en mode DOS (appuyer sur F8 quand s'affiche "démarrage de Windows..."),supprimer la corbeille (deltree C:\recycled) ou retirer ses attributs (dossier caché/système), aller dedans, effacer son contenu (del *.*).
Idem avec les fichiers reg.dat et user.dat de la base de registre de Windows (c:\windows). C'est radical. Bien sûr, il faudra restaurer une version précédente de la base de registre... Sinon, réinstaller windows à partir du CD-Rom d'installation.
Le mieux est toutefois de redémarrer en mode DOS avec une disquette (vérifier - et modifier éventuellement - dans le setup l'ordre de démarrage : A: puis C: pour démarrer sur disquette) avant de procéder - depuis la disquette - aux manips indiquées ci-dessus.
Mais, bis repetita, l'idéal est de partir d'une disquette de boot anti-virus (comme celle d'Ontrack, par exemple) qui créé un ram disque permettant d'accéder au cd-rom pour refaire une installation ou de lancer l'antivirus.

^ Je peux plus rien faire brancher un graveur en externe, rien du tout.

Là aussi, normal, puisque c'est l'exécution de Windows (et de ses pilotes) qui est plantée. Rappelons encore une fois qu'en dehors de Windows NT/2000 et jusqu'à Windows XP, Windows n'est qu'une interface de présentation, une surcouche logicielle plaquée sur DOS qui reste le vrai système d'exploitation.

^ Impossible d'accéder à la base de registre.

On ne peut y accéder que sous DOS, puisque les utilitaires windows comme regedit ou registry fixer sont devenus inaccessibles. (Mais normalement on peut toujours démarrer DOS sur disquette).

^ En redémarrant sous DOS depuis Windows, ça ne marche pas il me dit qu'il ne trouve pas le user.dat, et il me dit aussi qu'il n'y a pas de versions antérieures du regedit...

Normal que DOS ne marche pas en fenêtre Windows, de toute façon, en fenêtre dans Windows on ne peut pas agir sur le système puisque les fichiers à modifier éventuellement sont occupés. Donc, lorsqu'il s'agit d'intervenir sur Windows, il ne faut pas le charger !
Pour démarrer sous DOS : aller dans le BIOS, le paramétrer éventuellement pour modifier l'ordre de boot (A: puis C:) et relancer à partir d'une disquette de sauvegarde. A défaut, une disquette de lancement créée sur un autre système peut faire l'affaire.

^

Comment modifier le bios pour qu'il redemarre sous le lecteur A ?

Au démarrage, aller dans le setup (selon le BIOS, appuie sur "Esc" ou "F2" ou "CTRL-ALt-Esc" ou "Ctrl-Alt-S"... Si l'on n'a pas la doc sous la main, regarder attentivement l'écran au démarrage : il affiche brièvement (avec le nom et la version du BIOS) la ou les touches à entrer. Pas pu le lire ou l'écran n'affiche rien ? Il y a une solution !
Une fois dans le setup, va dans le menu "démarrage" ou "startup" ou "boot sequence". Et là, coche l'ordre A, D, C (démarrage disquette, CD-Rom, Disque dur). puis "save and exit" ou "quitter en sauvegardant les paramètres". Introduire une disquette de boot protégée (languette poussée). Redémarrer.

^ Comment renommer regedit.exe en regedit .com sous DOS ?

cd windows (pour aller dans le dossier windows)
rename regedit.exe regedit.com
Mais une fois la désinfection effectuée, inutile, les programmes .exe et com seront de nouveau reconnus.

^ J'ai tenté d'utiliser vos astuces, mais apparemment le ver a grandi, on ne peut démarrer sous DOS... - la touche F5 ne fonctionne pas; texto la bête me dit : touche coincée détectée appuyez sur échap pour continuer, donc impossible de ne pas se retrouver sous Windows.

Attention : F5 active en effet le mode sans échec : pas bon, vous vous retrouvez sous Windows !
il faut faire : F8 (démarrage dos avec config et autoexec) ou maj-F8 (démarrage avec validation pas à pas des fichiers config, puis autoexec) ou maj-F5 (démarrage dos sans config ni autoexec : mais là, on n'a plus aucun pilote dos, ni de mémoire haute - 640 ko seulement - et surtout un clavier qwerty.

^ LA TOUCHE F8 ou maj F8 ne marche pas non plus, J'ai eue accès au DOS par une disquette de démarrage, mais le hic c'est que je n'arrive pas a écraser le user.dat, même en essayant de changer ses attributs (par a:attrib -h -r -s c:\windows\*.* ou a: attrib -h -r -s c:\windows\user.dat ou directement dans c:\windows>attrib -h -r -s *.*) Je pense que la fonction attrib n'est tout simplement pas sauvegardé sur la disquette de démarrage, mais je ne sais pas où je pourrais le trouver et comment l'y placer (sous quelle forme) ?

C'est qu'il faut au préalable enlever la protection du répertoire Windows qui a pu être mise au cours des manipulations virales :
depuis a:, faites attrib -a -r -h -s c:\windows
puis
attrib -r -h c:\windows\user.dat
attrib -r -h c:\windows\system.dat
Si ça ne marche pas, vérifier par la commande :
attrib c:\windows *.dat
l'état de protection des fichiers *.dat.

^ J'ai un portable avec un cd rom de restore et en fait je ne peux pas le lancer car cest un.exe. Que faire ?

Normalement,avec un CD de restauration, pas de problème, il démarre directement, à condition d'aller dans le setup de l'ordinateur pour lui demander de booter d'abord sur le CD, et ensuite sur le disque C.

^ Mon disque dur est réparti en deux c et d. Si je formate le c est ce que le d sera toujours intact ? en fait je suis un peu dans un gros petrin, et je peux meme pas faire de disquette de demarrage.

On peut effectivement ne formater que C (avec format c: /s mais uniquement à partir d'une disquette ou d'un CD-Rom, puisque les commandes DOS (fdisk, format... et surtout command.com) se trouvent sur la partition C (partition primaire), qui est infectée.
Et avec DOS/Windows, il faut que le noyau du système soit installé sur un disque A: ou C: (défini comme partition primaire).

^ Je me sers de ma machine pour faire tout un tas de pages web, j'ai donc eu à télécharger pas mal de progr (les meme que chez moi d'ailleurs) genre php edit easyphp et autres.

Solution :
* Garder toujours sous la main une disquette de démarrage. Celle de Windows, mais tous les antivirus (Norton, Ontrack, Panda, McAfee, etc.) proposent d'en créer une (et de la mettre à jour régulièrement).
* Ne pas télécharger des exe (programmes) ou des dll (bibliothèques de pilotes) sur n'importe quel site, et en tout état de cause, TOUJOURS les passer à l'antivirus.
* Se méfier si l'on travaille en réseau et éviter (autant que possible) que les copains se servent de son ordinateur... N'oublions pas que jusqu'à l'avènement du net, la disquette était le moyen de propagation idéal. Elle le reste toujours. * Mettre à jour régulièrement ses tables de virus (sinon ça ne sert à rien)
* Ne pas ouvrir systématiquement tous les mails - vérifier l'en-tête, se méfier des fichiers attachés.

^ Une fois sircam détecté, j'ai utilisé l'utilitaire de Symantec (petit progr spécial sircam) qui me conseillait de répéter l'opération en safe mode.....chose faite et message de réussite suivant, je relance la machine et là......encore infecté...je recommence.....et hop encore infecté...tout celà en l'espace d'une heure.
Alors je retire manuellement les lignes (4 ou 5, correspondant à priori au nombres d'essais de l'antivirus) du genre : @win /..../sircam.exe (dans autoexec.bat je crois). Bref une fois fait je relance, et hop encore contaminé :-((
Très énervé je lance une recherche avec le texte "sircam" sur l'ordi entier et là plusieurs fichiers ... j'en retire qqun....je redémarre et là ecran rouge sans doute de l'antivirus Norton (qui était installé [je ne le savais pas])..... s'ensuit le demarrage de Win et très peu de choses présentes sur le disque :-(((((...
Je reboote et là !!!!!!! plus de boot sector!!!

En cas d'infection,surtout pas tout arrêter pour redémarrer et ne pas balayer à la main les répertoires en ouvrant, effaçant, déplaçant, renommant des fichiers, étant donné que c'est un excellent moyen d'assurer la propagation de certains vers. C'est certes tentant, mais cela ne résout pas le problème en profondeur : en croyant effacer le ver, on le duplique.

^ J'ai réinstallé Windows...mais dans un nouveau répertoire car il ne reconnaît pas l'existence de l'installation précédente et donc j'ai tout perdu ! Nul, quoi !

Quoique certains utilitaires peuvent récupérer un disque dur même avec une FAT ou un secteur de démarrage effacés, voire un disque reformaté... êtes-vous prêt à investir 3000F dans un logiciel ou payer un service comme "Remote Recovery" ? Bref,mieux vaut : * Songer à effectuer régulièrement une sauvegarde du ou des disque(s) dur(s)... (ou à tout le moins des documents). Comme je suis parano, je sauve régulièrement mon travail toutes les dix minutes sur plusieurs supports différents, une sauvegarde config avec Ontrack chaque jour, et un back-up système par semaine...
Même sans infection virale, on n'est jamais à l'abri d'une grosse panne système (crash de disque dur, surtension...)

^ Je n'arrête pas de recevoir des mails qui me semblent suspects (provenance inconnue, fichiers doc attachés de grande taille, etc.)... Comment m'en débarrasser - ou surtout ne plus les recevoir. Parfois, ils bloquent complètement ma BAL...

Qu'il s'agisse de virus ou de spam, on peut configurer son client de mail pour ne lire les courriers qu'en mode texte. C'est peut-être moins joli mais il y a un avantage insigne : tout ce qui n'est pas du pur texte (ascii, html) est aussitôt révélé. C'est que les chevaux de Troie, vers et virus peuvent fort bien arriver sous la forme d'un fichier maquillé avec une extension document ou image (c'est une grosse faille de Windows qui permet d'accepter sans sourciller des fichiers "toto.exe.doc" ou "tutur.bat.jpg"...)

^ Ou comment faire le canasson pour avoir du foin...(:-@
J'ai un certain norton canasson13 qui me fait chier, ma souris rame, mes connexions internet deviennent de la merde et je suis obligé de d'éteindre le pc sans passer par redémarrer. Au bout de 10 minutes environ un message se met sur mon écran et me dit : NO, don't use NumLock ! Numbers hurt me ! avec une icone ok en dessous sur laquelle je clique une trentaine de fois avant de voir apparaitre un texte disant :"you sillie newbie !" ou "you've been hacked !" sur toute la page. Si je ferme les fenetres tout le systeme plante, actuellement elles sont réduites pour que je puisse écrire. Je suis vraiment débutant en informatique alors pouvez vous me sortir de cette galere sans employer de termes trop durs ?
Merci d'avance !

Là, c'est la totale : ta lettré résume à peu près tout ce qu'il ne faut pas faire lorsqu'on panique à la suite d'une une attaque, avant de se faire traiter de "pauvre gland de débutant" et bombarder de messages narquois...
Petite consolation, ce canason13 (avec un seul "s") est un vieux cheval de retour (il va sur ses trois ans...). Comme son nom l'indique, c'est un cheval de Troie, qui créé une série de désordres programmés (messages d'erreur, souris folle, ralentissements, blocages de touche... que tu as fort bien décrits) assortis de commentaires humoristiques du style : "ah ce mulot à la con" "c koi ce bordel" "ah ça va remarcher".
Solution : redémarrer avec une disquette de boot propre et réinstaller les fichiers de registre et win.ini.
Une simple recherche sur le Net avec Google permet sinon de télécharger des patches permettant de réparer automatiquement les fichiers endommagés.
Quand on s'y prend assez vite, on peut également procéder soi-même à la réparation.
Aller dans la racine et y effacer les deux fichiers :
c:\Msie5.exe
c:\00.txt

Ouvrir regedit, y chercher les entrées :
HKEY_LOCAL_MACHINE/Security/Beef13/Canasson13/
HKEY_LOCAL_MACHINE/Config/Last/00/
et les effacer.
Enfin, faire msconfig, aller dans win.ini, effacer l'entrée :
Run=Msie5.exe
Si on s'y prend trop tard, redémarrer en mode DOS (appuyer sur F8 pendant le lancement), et procéder aux mêmes manips sous DOS. On peut également restaurer un état antérieur de la base de registre, mais vérifier la date de celle choisie, car il y a un risque que les sauvegardes antérieures aient été déjà altérées...
Mais comme toujours, et dans tous les cas, rien ne vaut un bon antivirus (et dans le cas présent, il n'avait même pas besoin d'être mis à jour, vu l'âge dudit canasson...)
^ Je voudrais désinstaller Outlook Express. Est-ce possible ?
Sous Win95 ou 98, oui. La solution la plus simple est de désinstaller et réinstaller Internet Explorer (ou d'en profiter pour faire la mise à jour de la version 6), et de décocher les cases d'installation d'Outlook. Tout simplement. Il suffit ensuite de supprimer du bureau les innombrables icônes inutiles qu'Explorer se plaît à rajouter, les éventuelles icônes d'Outlook qui restent et c'est bon. Il reste un dossier Outlook Express sur le disque dur, mais il est vide (inutile de l'effacer, Windows le recréé à chaque fois...)
A propos d'Explorer, ne pas oublier de télécharger sur le site Microsoft le dernier patch de mise à jour de sécurité - valable même pour le tout récent Explorer 6. Sacré Billou :-@ !
Impossible de démarrer sur A ?
Oublié la combinaison de touches pour accéder au BIOS ?

Un autre moyen de forcer le système à ne pas démarrer est de créer une erreur en débranchant le clavier AVANT de rallumer la machine. On se retrouve avec un message d'erreur qui permet d'accéder au disque dur.
En outre, ledit message invite à réparer la configuration en modifiant celle-ci et conseille donc d'entrer dans le setup... en indiquant la combinaison de touche adéquate. Et voilà !
Bon courage à ceux qui se sont retrouvés bien involontairement invités au Sirc et merci pour vos réactions (je pense à Antonin, Cengiz de Montréal, Cédric, Hélène, Marike, Nicole...). Prudence, donc, mais on peut toujours s'en sortir, avec un minimum de précaution et a little help from your friends
.
sircam/sirc32 :
Adresses de référence


^

HOAX ACTU OU L'INTOX QUI TUE
alertes hoax mises à jour en direct...

Et pas seulement les faux virus, mais aussi les fausses chaînes, les faux bruits (le fameux effroyable complot sur un imaginaire Boeing contre le Pentagone, par exemple), les faux messages de détresse, et autres scories qui encombrent la Toile (et hélas surtout l'esprit de bon nombre de gens). Voici donc en direct, les dix derniers recensés (mais la liste n'est pas limitative):


Références et liens utiles :

Symantec
Symantec, avec la méthode de récupération au cas où...
Secuser tient à jour une liste de patches permettant de remettre en état son système après une infection quelconque.
Et deux sites indispensables de traque aux canulars :
datafellows
En anglais, Datafellows, la page de F-Secure consacre (entre autres) au navrant slfnblk, toujours d'actualité

et en français, déjà cité ici :
hoaxbuster
Hoaxbuster.
ainsi que Secuser
Mais une simple recherche en tapant "Hoax" sur Google prouve que le sujet est loin d'être épuisé et que décidément les gogos sont légion.
Enfin, bien sûr, toujours, les forums de Memoclic
ALERTE AU VIRUS EN BIDON
vous êtes tombé sur un hoax, canular en français...

Si vous avez reçu un mail affolé du genre :
ATTENTION VIRUS !
CECI N'EST PAS UNE BLAGUE ! INFORMATION IMPORTANTE
Vérifiez que votre disque n'est pas infecté par un virus qui agit à retardement, programmé afin de devenir actif un jour. A cause du délai d'activation, il n'est pas détecté par les logiciels antivirus. Si jamais vous l'ouvrez, il efface tout votre disque dur !
Ce virus appelé SULFNBK.EXE est un ver qui se propage par e mail et infiltre le dossier 'C:\WINDOWS\COMMAND'.
Si vous l'avez trouvé, vous devez contacter toutes les personnes à qui vous avez envoyé un mail depuis quelques mois et leur transmettre ce message immédiatement car le virus se propage par le courrier.
... accompagné d'explications détaillées pour effacer ledit programme prétendument infecté et le vider la corbeille après l'avoir piétiné longuement, au cas où la bestiole bougerait encore ;o-), vous êtes tombé sur un hoax.
En fait, l'infecté, c'est vous. Car le virus n'existe que dans la tête de ceux qui propagent ce mail (même si au bout du compte, les résultats sont les mêmes : parano, parano!). Ce canular venu du Brésil (et rédigé en portugais) a été décliné en anglais et maintenant en français.
En réalité, SULFNBK.EXE est un utilitaire Windows bien anodin. Il fonctionne sous Dos et sert tout benoitement à restaurer les noms longs de fichiers. Si jamais vous l'avez effacé malencontreusement, sachez toutefois qu'il n'a aucune influence sur le fonctionnement du système.
rechercher le prétendu coupable Néanmoins, pour le restaurer, si vous n'avez pas d' "UNDELETE" ou d'utilitaire de restauration, réinstallez-le à partir du CD de Windows ou du dossier de votre disque dur sur lequel vous avez pris soin (comme on l'a déjà conseillé ici) de recopier vos fichiers d'installation.
Un contrôle facile : chercher le fichier à l'aide de "fenêtre-F" puis clic-droit "propriétés". Le programme SULFNBK.EXE fait 44ko (45056 exactement) et date de 5 mai 1999. Il en existe certes une version infectée par un ver (W32.Magistr.24876@mm), mais dans ce cas, sa taille gonfle à 78ko et surtout il est aisément découvert et éradiqué par n'importe quel antivirus mis à jour depuis moins d'un an !
Quant à l'affirmation selon laquelle le fait qu'il soit dormant empêcherait les programmes antivirus de le détecter, elle relève d'une sombre crétinerie : comme la majorité des virus/vers et chevaux de Troie fonctionnent ainsi (par déclenchement programmé ou retardé), aucun antivirus ne détecterait jamais rien. En fait la détection se fait grâce à la signature virale, la date de mise en oeuvre n'a strictement rien à y voir.
Comme dit un petit rigolo, le virus le plus dangereux s'appelle Windows, il est tapi sur les disques depuis une quinzaine d'années et se matérialise par une moche fenêtre bleue au démarrage et des plantages répétés de votre machine. Le seul moyen de l'éradiquer est de démarrer sous Dos et de faire "FORMAT C:\" :o->
D'ailleurs, je ne désespère pas de voir bientôt apparaître un message paniqué du genre : "vérifiez sur la racine de votre disque, si vous y trouvez un programme appelé "command.com", effacez-le toutes affaires cessantes ! c'est un terrible virus américain signé B.G.


^

LA KLEZ DU PROBLEME OU COMMENT S'EN EVITER UN BON NOMBRE...
KLez_H est (encore) une des multiples variantes sans imagination de ces innombrables troyens qui hantent la Toile. Pour s'en protéger, le remède est pourtant simple: éviter d'ouvrir un courrier (en général en anglais), proposant une image, un jeu, une vidéo, un mp3 inédit, un patch logiciel ou autre prodige attrape-gogo, le tout composant un message d'environ 169ko.

N'importe quel antivirus à jour depuis moins de trois mois est capable de le repérer. Pour l'éradiquer, il suffit d'effacer ledit fichier sans l'ouvrir. Si le mal est fait, fermer tous les programmes, redémarrer, télécharger un patch sur Internet.

Enfin, pour éviter d'encombrer sottement sa ligne à télécharger des bêtises, la meilleure parade est encore de vérifier d'abord sur son serveur l'état des courriers et les effacer ainsi sans les télécharger. Tous les clients de courrier le permettent : il suffit de télécharger uniquement les en-têtes de courrier, puis d'effacer tout mail suspect directement sur le serveur.



^

UN VIRUS CHEVALIN [:-/ MAIS ON EN RECHAPPE (:-)
Il m'est arrivé comme ça sans crier gare, puisque j'ai appris sa présence après avoir téléchargé la dernière table de virus de Viruscanner (en date du 25/7). Il s'agit d'un cheval de Troie du nom de TROJ_SIRCAM.A (Pas de parano : Vous pouvez cliquer sans risque, ce lien vous renvoie simplement sur sa fiche signalétique dans la virusencyclo). La bête touche les machines tournant sous WINDOWS 9x ou plus, mais pas NT.

Symptômes : Le système ralentit, l'occupation mémoire atteint 100% dès le démarrage de Windows et surtout, lorsqu'on ouvre une connexion Internet, le disque dur se met à mouliner comme un malade.

Explication :
Le Troyen malin se met à envoyer des mails à votre insu mais de son plein gré pour se propager (en récupérant les adresses dans les fichiers d'annuaire ou pire, sur les pages Internet (extensions HTM, HTML stockées sur votre disque).
C'est qu'en effet la monstrueuse bestiole se transmet par ce biais (mail ou réseau). Elle arrive en général sous la forme d'un courrier banal du genre "Salut, ci-joint le fichier que tu as demandé...".

Pour moi, c'était un prétendu compte rendu de réunion. La VO est en anglais ou en espagnol, mais apparemment, de petits malins le propagent désormais en VF : le mien venait de Suisse.
Joint au mail se trouve un fichier attaché caractérisé par deux extensions (blabla.x.y par exemple).
X est un nom aléatoire récupéré sur le disque dur d'un utilisateur infecté.
On peut le retrouver sous l'entrée :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal.
Et Y peut être : .EXE, .COM, .BAT, .PIF, .LNK

Le problème est que le fichier attaché arrive planqué (ce serait trop beau, sinon) sous la forme d'un document anodin .DOC (word), .XLS (Excel) ou .ZIP (archive) dont le nom a été récupéré, à l'insu de l'émetteur, sur son disque dur.

Une fois arrivé, comme tout bon équidé hellène, il s'installe sur votre disque sous la forme de deux fichiers cachés "SCAM32.EXE" dans le répertoire c:\windows\system et "SIRC32.EXE" dans la corbeille.
Attention, mieux vaut ne pas s'amuser à les ouvrir "pour voir" :
Car là, c'est tout vu, le redoutable canasson efface systématiquement tous les programmes qui ne sont pas déjà ouverts et donc chargés en mémoire vive... Dur !

La bestiole est repérée par les antivirus comme Viruscan, Norton, Panda ou Viruscanner.
Le second problème, c'est que l'antivirus va refuser de l'effacer, car le fourbe en a profité pour modifier la base de registre afin d'associer systématiquement ce faux programme-système à l'ouverture de tout fichier .exe

Donc, attention bis :
Ne surtout pas faire ce que propose éventuellement l'antivirus, à savoir effacer vous-même les deux faux programmmes signalés comme infectés (SCAM32.EXE et SIRC32.EXE), car il devient dès lors impossible de lancer l'éditeur de registre pour réparer les dégâts, ou, pire de redémarrer Windows, puisque plus aucun programme exécutable, donc portant l'extension exe, ne pourra s'ouvrir...
Et si vous n'avez pas effacé les duettistes SIRC et SCAM, ce n'est pas mieux, puisqu'ils en profiteront pour flanquer le bouzin chaque fois que vous ouvrirez un programme... Cruel dilemme !

Alors, pas de remède ?
Heureusement, si, car ce cheval n'est pas si mauvais bougre. Il suffit de lui caresser le "DOS" pour l'amadouer. Ben oui, le saboteur en sabots ne sait passer que par la fenêtre. En clair, il ne tourne que sous Windows. Donc, si on n'a pas fermé la session Windows et pas effacé les divers fichiers cachés que le virus a placés dans les répertoires système et la corbeille, on peut réparer la base de registre en empêchant sircam de la modifier. Pour cela, il faut le tromper en renommant l'éditeur :
rename regedit.exe regedit.com
c'est-à-dire de programme exécutable (extension .exe) en fichier de commande (extension .com). Ensuite, si l'on peut encore accéder à la base de registre, il faut modifier les entrées suivantes :
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
et supprimer la valeur Driver32.
* HKEY_LOCAL_MACHINE\Software\SirCam
cliquer sur SirCam et supprimer.
* HKEY_CLASSES_ROOT\exefile\shell\open\command
et modifier la valeur par défaut :
“C:\Recycled\SirC32.exe””%1”%* en “%1” %*.
En d'autres termes, supprimer “C:\Recycled\SirC32.exe”.
Sortir de l'éditeur de registre, puis le rebaptiser regedit.exe. C'est tout bon !

Au secours, ça marche pas !
C'est ce qui peut arriver si vous avez effacé les fichiers infectés (ce que j'avais fait, grossière erreur...)
Là, le remède est de démarrer en mode DOS (F5 puis choisir "invite DOS") ou sur une disquette de démarrage.
(Modifier éventuellement le BIOS pour redémarrer en A: - pas de risque, l'impur-sang ne touche pas au Bios)
Aller dans le répertoire C:\WINDOWS\COMMAND, taper REGEDIT /RESTORE et cliquer sur une version antérieure du registre.

Si regedit refuse d'appliquer la restauration, et que vous avez pris soin de faire récemment une copie du fichier USER.DAT, vous pouvez la récupérer "à la main" après avoir effacé ou renommé le registre corrompu (supprimer ses attributs "R" et "H" commande : ATTRIB -R -H)
puis recopié à la place dans le répertoire C:\WINDOWS votre USER.DAT propre.
Redonnez-lui les attributs lecture seule et caché (ATTRIB +R +H).
Redémarrez...

L'idéal, bien sûr, est de redémarrer avec une disquette de réparation, genre Fix-It pour réinstaller les fichiers système sauvegardés... Encore faut-il avoir pensé à le faire. Et si possible, à une date assez récente.
Sinon, solution radicale : redémarrer avec le CD et réinstaller Windows, puis procéder à un nettoyage en règle à l'aide d'un bon antivirus...
Dernier conseil : effacer tous les fichiers temporaires et caches d'Internet Explorer, Netscape ou Opera.

Si vous avez encore un problème (exclusivement de virus ou de base de registre), envoyez le formulaire ci-dessous en remplissant au moins les champs avec les astérisques *
Pour toute autre question (installation de Windows XP ou autre), visiter les forums spécialisés)
Nom ou pseudo *
Région ou pays
adresse mail *


^

pub GlobeX-Merc@toR
^
cette page
© 2001-2002 Jean Bonnefoy