[rÉglÉ]qui Connait Skynetave.exe ?

[Jlz]

Slt,

bon aller pour faire bref : hier j'ai coupé mon firewall, et ce qui devais arriver arriva => Sasser le moche ! Bon OK => rustinage de la faille, desinfection du poste et redemarrage !

Voila le probleme, depuis au demarrage de la machine se lance skynetave.exe !

Je sais pas de quoi il s'agit mais je sais que ca pompe tt mes ressources et qu'il y a presque plus rien qui marche (rame, rame rameur !) Impossible d'enlever ce truc (c:\windows\skynetave.exe) Impossible de demarrer windows en mode sans echec et comme j'avais bien confiance il y a bien longtemps que j'avais désactivé la restauration du systeme ! Impossible d'interrompre le processus !

Je sais pas quoi faire et si un pro de la desinfection passe par là, qu'il sache que son aide est attendu !

Merci a tous !

++

[scph10100]

c'est une variante de W32/Sasser.C-net... ça te fait un bon gros buffer overrun..

Pour ne pas le rechopper il te faut fermer le port 5554 sur ta machine.

Et pour finir si tu veux t'en debarraser (on sait jamais tu es peut être un grand sentimental ) va sur le site de microsoft à cette adresse et prend les patchs sur la page http://www.microsoft.com/technet/security/...n/MS04-011.mspx

Si jamais qq'un vient encore t'embetter viens me voir, on a toujours besoin d'une grande soeur contre les mechants

Au cas où, fait petter cette clé dans la base:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\

"skynetave.exe" = C:\WINNT\skynetave.exe

Modifié 5 mai 2004 par scph10100

[Invité Freeway]

Scph, tu sais comment se propage se virus? parce que sasser c est par port TCP, donc dès que j ai entendu la news j ai patcher et checker avec l outil M$, mais le virus de JLZ j en ai pas entendu parler...

a+

Edit, oups désoler, j avais pas bien lu, c est par le port 5554,

Modifié 5 mai 2004 par Freeway

[Jlz]

@scph10100:

De la balle, je te remercie bien !

Tout etait patché mais le fix que j'utilisait chercher un autre entrée dans les registres ! Et moi je cherchais dans CURRENT USER !

Tout est renté dans l'ordre, merci encore (je pouvoir faire le cake au taf maintenant grace à toi !)

++

J'ai déja plein de grande soeur mais ........

++

@Freeway:hier encore des recherches sur skynetave.exe ne me retournaient aucuns resultats !

[gold]

Sinon tu peux t'offrir un routeur ça coute a peine plus de 100€ maintenant, j'ai revécu depuis que j'ai ça.

Je me souviend de Blaster, ceux qui avaient un routeur ne savaient même pas de quoi on parlait.C'est sûr que ce n'est pas invulnérable mais ça protège bien...

[Jlz]

A l'epoque aussi je me demandais ce qu'etait ce blaster car NIS suffisait a la bloquer ! Là j'ai coupé le firewall 5 min. ca a suffit a ce petit p*** pour rentrer chez moi (c'est pas vrai en + c'est au boulot que j'ai eu le pepin !)

Enfin de tt les façon il est prévu que je fasse l'acquisition d'un routeur !

Merci !

++

[raik]

pour supprimer le fichier tu peux le faire avec le dos au moins t'es sur que la tu pourra le faire vu qu'il sera pas actif!

[Jlz]

Ouais j'y est pensé _

1ere chose _ je n'ai pas DOS

2eme chose _ je crois qu'il a du mal avec les partitions NTFS

Merci bcp !

++

[raik]

ta windows xp???

le dos existe toujours...en démrrant ton pc t'appuyes sur F8 et tu choisis euh....mode commande(ca s'appelle pas comme ça)

ensuite tu vas dans le répertoire de windows en faisant cd windows... et ensuite...del skynetave.exe...

en gros sur ton écran ça donnera ça:

C:\>                               //tu tapes cd windows

C:\>cd windows                           //tu entres dans le répertoire

C:\WINDOWS\                            //tu tapes la commande pour virer ton fichier

C:\WINDOWS\del skynetave.exe                 //ensuite t'appuies sur entrée

C:\WINDOWS\                               //voila!!!

Normalement quand tu supprimes un fichier il ne te le dis pas... essaye ça etdis moi si ca marche. J'ai xp, j'ai essayé et ca marche!

Modifié 5 mai 2004 par raik

[Jlz]

OK je te suis, simplement je ne sais pas ce qui provoquait ca mais je n'avais pas la possibilité de redemarrer en mode sans echec (chargement commence mais bloque sur ecran noir avec petit curseur qui clignote puis plus rien) avec ou sans reseau et ni en invite de commande (pk ne me demande pas !)

Enfin merci de ton aide !

++

[raik]

tu peux toujours utiliser une diskette boot de win98...si l'écran reste noir avec le curseur ça veut peut -être dire que le virus démarre en meme temps que l'alimentation du pc...mais ça m'étonnerait que c esoit un virus de boot parce que faut vraiment être un génie et ç aexiste plus trop...les virus hein! lol

[scph10100]

tu peux toujours utiliser une diskette boot de win98

ne marche pas si les HD sont en NTFS...

[Jlz]

Non mais de toutes façons tu as solutionné mon prob. et je t'en remercie !

++

[Pink Floyd]

tu peux toujours utiliser une diskette boot de win98

ne marche pas si les HD sont en NTFS...

dans ces cas difficile une seul solution radicale :

http://samson-all-files.nm.ru/khauyeung/SuperWinPE.htm

PS :merdouille ou c que j'ai foutu le lien de la version freeware...

Modifié 5 mai 2004 par Pink Floyd

[nick_]

on a eu le probleme avec sasser en ce debut de semaine.

pour infos il y a trois version de sasser.

le A qui fait rebooter le systeme

le B qui lance 512 processus de connections a internet ce qui bloque la bande passante

le C qui lance 1024 processus de connections internet et qui desactive les antivirus de facon a ouvrir la porte a 9 virus dont le celebre bacteraa et skynetave(sources de free corrobores par wanadoo)

il se propage de la facon suivante:il genere une adresse ip a partir de la machine ou il est,cette adresse ip est a 50% totalement aleatoire,a 25% le premier triplé est identique a la machine d'origine et a 25% les deux premiers triplés sont identique a la machine d'origine.

[raik]

mmm bizarre chez moi les diskettes de boot 98 marchent... j'ai un pc mutant lol

JLz derien si j'ai pu t'aider