Problème de virus explorer.exe

Bonjour les gens !
Donc l’astuce c’est que régulièrement (genre tous les jours) j’ai un fichier explorer.exe qui est généré à la racine de la partition primaire (ça se dit ça ?), enfin où se trouve Windows Xp et aléatoirement sur l’autre partition.
Ces fichiers sont bien détecté par Kaspersky (mis à jour) comme étant des virus, mais celui-ci ne peut pas les désinfectés et la suppression de change rien : ils réaparaissent toujours.
Les effets de ce virus, pas grand chose en fait : bien que régulièrement le pc ralentie de manière inexplicable (15 seconde pour fermer une fenêtre ou l’ouvrir etc…) mais je ne saurais dire si ce problème est lié au fameux “virus”.
Je précise que ce fameux virus est nommé “worm.P2P.spybot.gen” par Kaspersky.

Si quelqu’un sait comment me débarasser de ce truc, mon ami Google lui, ne pas aidé.
D’avance :
merci merci

et le site de ton éditeur d’anti virus ne te dit rien

je sais qye symantec par ex, fait des tuto pour effacer ‘à la main’ des virus détectés mais pas éradicables…

C’est bien le problème il n’informe que de peu de chose…pas grave je vais allez voir chez Symantec

si je me souviens bien, j’ai deja entendu parler de cette saloperie qui lance effectivement une deuxieme tache “explorer.exe”, visible qd on fait un ctrl-alt-suppr. Je me souviens plus de la marche exacte, mais on doit effectivement le virer a la main apres l’avoir desactive (ctrl-alt-suppr) et ensuite virer les clefs de la base de registre concernees sinon il revient.

La derniere fois que j’ai entendu parler de ca, c’etait un troyen si je me souviens bien…peut etre que je me plante, hein, mais si ca ne fait rien de visible, soit tu envoies des mails infectes a ton ton carnet d’adresse, soit t’as une porte d’entree grosse comme une maison sur ton poste

Arrgh mais c’est super rassurant ce que tu me dis dis donc !!!
Au secour, faut que je retrouve la méthode pour le virer à la main !

oula attends je ne suis pas un pro de ce genre de choses, j’ai juste qqes (mauvais) souvenirs.
Verifie quand meme que tu n’as pas deux explorer.exe de lances…si c’est le cas, oui tu peux t’affoler
Ce message a été édité par EvilGuinness le 24/06/2003

J’ai la solution !!!

Bon pour  ton virus de merde que tu as choppé dans les bas fond du net .

source trendmicro: a lire il existe une solution automatique apparament

[quote]MANUAL REMOVAL INSTRUCTIONS
Terminating the Malware Program
Since this malware terminates the Windows NT and 2000 Task Manager and hides on the Windows 95, 98, and ME Task Manager, you may use a third party process viewer to terminate the malware process.
One such utility is the Process Explorer from SysInternals which can be downloaded freely from this site: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
Once you have the utility, locate and terminate the following process names:

  • wupdate.exe
  • 5py.exe
  • taskmger.exe
  • msupdate32.exe
[b]Removing Autostart Entries from the Registry[/b] Removing autostart entries from the registry prevents the malware from executing during startup.
  • Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
  • In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run
  • In the right panel, locate and delete the entries:
    • Wupdate driver = wupdate.exe
    • Wupdate driver = 5py.exe
    • Winsock2 driver = taskmger.exe
    • Microsoft Update 32 = msupdate32.exe
  • In the left panel, double-click the following: HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>RunOnce
  • In the right panel, locate and delete these entries:
    • Wupdate driver = wupdate.exe
    • Wupdate driver = 5py.exe
    • Winsock2 driver = taskmger.exe
    • Microsoft Update 32 = msupdate32.exe
  • [b]Removing Malware Entries from the Registry[/b]
  • Still in the Registry Editor, double-click the following: HKEY_CURRENT_USER>Software>Kazaa>LocalContent
  • In the right panel, locate and delete this entry: Dir0 = 012345:%System% kazaabackupfiles (Note: %System% refers to the Windows System folder which is usually the folder C:WindowsSystem, C:WinntSystem32 or C:WindowsSystem32.)
  • Close Registry Editor.
  • [b]NOTE:[/b] If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system. [url="http://www.trendmicro.com/en/security/advisories/win_me_clean.htm"]Additional Windows ME/XP Cleaning Instructions[/url][/quote]Ensuite rescan avec [url="http://housecall.trendmicro.com/"]Trend Micro's free online virus scanner [/url]

    Ce message a été édité par Zaxe le 24/06/2003

    tiens donc, on parle d’un virus dont le nom commence par « p2p.spybot » et dans la solution pour le virer, on retrouve dans les clefs de la base de registre « kazaa »…desole, mais quelle saloperie ce truc :confused:
    Bon manifestement c’etait pas ce que je pensais, ca vaut mieux!

    Zaxe mon sauveur !  Alors voyons voir que je comprenne tous.

    EvilGuinness, oui tu as raison, j’arrête mes bêtises et je jette

    edit :ça me parait bizarre : je n’ais que taskmgr.exe et pas la bonne entrée dans le registre (en ce qui concerne kazaa)…serait-il possible que ce ne soit pas le même virus ? Par contre leur outils de désonfection automatique semble efficace (le fichier explorer.exe n’as pas été généré )  j’attends de voir jusqu’à demain si il n’y a plus de poblème.

    edit2 : deux “n” à EvilGuinness
    Ce message a été édité par LeRige le 24/06/2003

    Je ne sais pas si ça à un rapport avec mon problème, mais Kerio me lâche en ce moment :

    C’est bad ou pas ?

    Ce message a été édité par LeRige le 24/06/2003

    deux “n” a Guinness, merci

    Ahhhh, le port 445…

    Tire de riskmanager.be :
    “Le port 445 (Microsoft SMB par TCP/IP) permet aux étrangers d’accéder aux fichiers partagés Windows”

    Bref, qqun essaie de voir si t’as pas des ressources partagees, ca ressemble a un scan de ta machine. En fait, je sais plus mais il me semble que sous 98 tout le disque C est automatiquement partage…

    Ah, ce virus, je connais : Bhon, pour le virer, tres simple : un coup de McAfee VirusScan… Plus jamais entendu parler…Bhon la version finale est payante, bioen que pas tres chere, mais il y’a des version d’essai qui circule un peu partout…

    [quote]Ahhhh, le port 445…

    Tire de riskmanager.be :
    “Le port 445 (Microsoft SMB par TCP/IP) permet aux étrangers d’accéder aux fichiers partagés Windows”

    Bref, qqun essaie de voir si t’as pas des ressources partagees, ca ressemble a un scan de ta machine. En fait, je sais plus mais il me semble que sous 98 tout le disque C est automatiquement partage…[/quote]Le truc, c’est que mon ordinateur est en réseau avec un autre PC et donc mes partitions sont partagés avec celui-ci. Est-ce que cela voudrait dire que celles-ci pourraient être accessible depuis internet ?

    /me commence à s’inquiéter.

    [quote]Le truc, c’est que mon ordinateur est en réseau avec un autre PC et donc mes partitions sont partagés avec celui-ci. Est-ce que cela voudrait dire que celles-ci pourraient être accessible depuis internet ?

    /me commence à s’inquiéter.[/quote]OUI, si tu as mal établie tes règles d’entrée sortie sous Kerio.
    NON, si tu as fais ça avec des règles correctes sous Kerio.

    Bref la règle voudrait que tu autorise uniquement l’IP de ton PC voisin à pouvoir se connecter en TCP avec ton PC (IN & OUT)

    ouais enfin bon, s’il doit se connecter au reste du monde, faut bien autoriser les connexions en tcp non?

    La solution radicale, ce serait de bloquer le port 445 et de le debloquer quand tu en as besoin…j’ai toujours ete partisans des methodes a la grouik
    Ce message a été édité par EvilGuinness le 24/06/2003

    [quote]Je ne sais pas si ça à un rapport avec mon problème, mais Kerio me lâche en ce moment :

    C’est bad ou pas ?

    Ce message a été édité par LeRige le 24/06/2003[/quote]Bah oui cest bad car là il s’agit plus d’un scanning de ports mais carrément d’une tentative de connection driecte par un canal identifié.

    Le seul moyen de te protéger efficacement est de bien jarter tous les parametres réseaux par défaut dans ta connexion Internet (NEtBios over TCP), clients reseaux MS, partage de fichiers et imprimantes…

    De plus comme dit plus haut, un firewall “bourrin” configuré par défaut te bloque tous les acces venant d’internet , comme du LAN. PAr ex Norton me bloquait les acces aux imprimantes, aux ordis de mon LAN familial et domestique jusqu’à ce que j’autorise chaque PC à l’aide de son IP et de son masque de sous-réseau à se connecter sur ma bécane…

    Je t’avouerais mon cher Tibo que tu me fais limite flipper, de plus je n’ais pas tous compris à ce que je devais faire pour me protéger : est-ce que bloquer  l’entrée de l’indésirable avec kerio n’est pas suffisant ?
    De plus, bien qu’ayant préciser l’ip et le masque de l’autre ordinateur, kerio refuse toujours de le laisser se connecter à Internet par le biais de mon ordinateur, je reste perplexe et cris à l’aide.

    edit :  Pour mon second problème j’ai trouvé la solution, il fallait activé "Is running on Internet gateway. "
    Ce message a été édité par LeRige le 24/06/2003

    Le rige> Je n’ai pas de solution à t’apporter, juste te soutenir car j’ai exactement le meme pb!!!
    En fait, moi, mon PC est vierge, formaté XP, j’ai installé AVP, ZAlarm et un machin P2P qui parle d’ane…
    That’s all!

    Et j’ai regulierement le fichier explorer.exe qui apparait…

    Bon je continue dans ma quête de la configuration de Kerio personal firewall. Le truc c’est que j’ai bien ouvert le port 53 en sortie ainsi que les ports 80, 443 et 8080, mais crazy browser ne peut toujours pas àccéder aux sites ! Là je ne comprends pas. De plus le programme svchost.exe semble absolument vouloir envoyer des informations. Ma seconde question est donc la suivante : à quoi sert ce svchost.exe. Celui ci apparait trois fois dans le gestionnaire de tâches avec pour nom d’utilisateur : respectivement service local, service réseau et system.

    Si vous avez des informations là dessus : merci merci

    edit : j’ai rien dit pour la deuxième question : google est mon ami ! ici
    mais cela ne me dit toujours pas pourquoi il essaye d’envoyer/recevoir des informations
    Ce message a été édité par LeRige le 25/06/2003