Se connecter

Cédric · le 26/12/2001 à 18h55

Je ne sais pour vous, mais moi, je viens de recevoir à deux reprises un mail intitulé "Tolkien sur JRRVF".
Ce mail est en fait celui que j'ai envoyé il y a presque un an de ça pour inciter à visiter JRRVF. Mail envoyé à celles et ceux qui à un moment ou un autre m'avait envoyé un mail à propos de JRRVF.

Il semblerait donc qu'un petit plaisantin fasse maintenant le boulot à ma place ? Ou alors, c'est pour me rappeler que je dois le faire ?
Bizarre et finalement pas très marrant...

Cédric.

Grishnakh · le 28/12/2001 à 18h40

Pas reçu (cela dit je suis relativement nouveau sur la ml, donc pour les dates, je suis sans doute "en dehors").

Par contre, il est possible que tu sois infecté par le virus BadtransB (qui s'attaque aux listes d'adresse de Outlook). Si tu veux des informations à son sujet et savoir comment éliminer cette sale bestiole, je suis à ton service.

* Grishnakh, virusbuster *

Lomion · le 28/12/2001 à 19h12

Il me semble que j'ai le virus dont tu parles monsieur l'orque. Je l'ai mis en quarentaine mais je ne crois pas l'avoir éliminé...donc un peu d'aide ne peut faire que du bien.
Merci d'avance.
Lomion

Cédric · le 28/12/2001 à 19h27

J'aurai peut-être du utiliser "spam" au lieu de "virus". Ca fait moins peur ;-)

Cédric.

Grishnakh · le 28/12/2001 à 19h39

Voici les informations pour vous dérasser du badtrans.b, au cas où.

Il se présente en général comme un message anodin - l'objet du message risque de vous être familier car en général ce genre de virus se sert des morceaux de documents des personnes contaminées et les utilise en guise d'objet.

Une faille de protection a été décelée dans Internet Explore 5.0 et 5.5. (si vous n'avez pas Outlook ou IE ou bien que vous possèdez les versions 6 de ces logiciels, vous n'êtes pas normalement concerné. Si vous utilisez un Mac et que vous utilisez IE ou Outlook, attention, le virus marche aussi !)

Le danger de ce virus réside dans le fait que celui-ci se charge et s'exécute même si vous ne demandez pas à lire les pièces jointes contenues dans ces fichiers et il se propage rapidement et s'envoie automatiquement à la liste de vos correspondants... !

Comment supprimer ce virus ? C'est parti !

Si vous êtes infectés, vous avez 3 fichiers dans le répertoire Windows/system :

CP_25389.NLS
KDLL.DLL
Kernel32.exe

Déconnectez vous d'Internet, supprimez les Emails douteux (videz la
corbeille d'Outlook). Puis, utilisez la fonction rechercher du bouton "Démarrer" de windows (ou de OS).

Vérifier la présence des fichiers suivants :

kernel32.exe
kdll.dll
cp_25389.NLS

Pour l'éliminer :
1-Supprimer le fichier cp_25389.nls
2-Redémarrer en mode Dos
3-Supprimer kdll.dll et kernel32.dll
4- redémarrer windows

( il est inutile de supprimer la clé kernel32 dans la base de registres )

Pour ne plus être victime de ce genre de virus mettez à jour Internet
Explorer. Attention, les mises à jours sont assez volumineuses (17 Mo), pour ceux qui utilisent une connexion modem, téléchargez-les à des heures de faible trafic (tôt dans la matinée).

Si vous utilisez Internet Explorer 5.0 ou inférieur aller télécharger la mise à jour à cette page :
www.microsoft.com/windows/ie/download/ie501sp2.htm

Si vous utilisez Internet Explorer 5.01 aller télécharger la mise à jour à cette autre page :
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp

Si vous utilisez Internet Explorer 5.5 aller télécharger la mise à jour ici :
www.microsoft.com/windows/ie/download/critical/q299618/default.asp

La version 6 n'a pas de problème (connu...). Cela dit, malgré tout, je vous conseille de télécharger la 6.0 (toujours via le site de microsoft. Rassurez vous ça mettra juste à jour votre ancienne version, donc vous ne perdrez aucune de vos anciennes configurations ie ou outlook). Mais si vous préférez rester sur 5 ou 5.5, downloadez les patchs.

Mais ces patches ne suffisent pas. Il faut aussi configurer Outlook Express et Internet Explorer.

Dans OE : Outils/Options/Securité : cocher la case "Zone Sites sensibles"

Dans IE : Outils/Options/Sécurité : Sélectionner "Sites sensibles", puis cliquer sur "personnaliser le niveau". A téléchargement de fichiers, sélectionner "désactiver".

Profitez-en pour désactiver les controles Active-X pour vous protèger des virus de type Kak.

Pour finir, si comme Lomion, vous avez mis le virus en quarantaine, vérifiez d'abord si les fichiers CP_25389.NLS, KDLL.DLL et Kernel32.exe sont dans votre dossier windows/system. Si c'est le cas, suivez la procédure décrite plus haut, puis enfin, détruisez le virus (avec Mc Afee ou Norton, ou autres).

Si non, détruisez le virus sans passer par la case départ, ne touchez pas 20.000 francs :), c'est fini, 'a plus de virus !

Et mettez à jour vos antivirus par la même occasion !

* Grishnakh, docteur en virologie, à défaut d'autre chose :) *

Grishnakh · le 28/12/2001 à 19h45

Cédric : dans le cas présent, le travail principal du virus badtrans b est bien de spamer afin de se reproduire :)

Verifie quand même, ça te coûtera rien, d'autant plus que ce virus, même s'il n'est pas dangereux intrinséquement pour les données de ton computer, reste extrêmement chiant (et c'est peu de le dire).

Sinon, pour rassurer tout le monde, le type qui l'avait lancé (un anglais) a été arrêté il y a deux semaines. Mais il se peut qu'il reste encore trace du virus, ici et là (ce sont surtout les entreprises dotées de réseaux qui ont été touchées).

* Grishnakh, virus du Mordor *

TB · le 29/12/2001 à 05h55

Puisque c' est la saison des cadeaux, et qu' on parle de virus...J' ai DEUX charmantes bestioles du même acabit:
- W32.Magistr.39921@mm
- VBS.Tam.A
Une de ces deux saloperies est particulièrement néfaste ( W32.Mag...etc ), et rend le comportement de votre PC...Euh...Surprenant ! Fouille OE/IE, et vadrouille, par l' entremise de votre carnet d' adresse, en envoyant des mails plus ou moins cohérents ! Pour dire le moins...!
Comme d' hab, je ne saurais trop conseiller une petite visite chez symantec.fr ( ou . com, if you speak l' anglais ! ), et faire un petit check-up ( c' est gratuit, quoiqu' un peu long: 2-3h, mais ça vaut le jus !), et vous pourrez en profiter pour récupérer gratos le nec plus ultra des antivirus Norton ( essai gratuit )
En espérant ( n' est-ce pas, cher lomion ! ) que ceci n' aura été qu' une stérile contribution à la paranoïa latente, je vous souhaite de bonnes fêtes.....!
Citation du jour:
" Peu importe le cadeau, c' est l' intention qui compte...! " :-D
TB

Lomion · le 29/12/2001 à 16h47

Bon bah merci Grishnak. Je l'ai zappé mais j'ai pas du tout suivi des instructions! lol Je ne sais tout bonnement pas effacer un fichier sous DOS...
Lomion tout propre
P.S.: C'est pas encore noel pour moi T.B. alors garde tes cadôs!:)

vincent · le 07/01/2002 à 02h07

le précédent message était inutile. voici la page où trouver d'autres infos :
http://vil.mcafee.com/dispVirus.asp?virus_k=99069&#indications

Vincent

vincent · le 07/01/2002 à 13h50

merci de ces infos, Grishnakh

mais où puis-je trouver des infos sur le virus dont tu parles ? sur le site de symantec ?
j'aimerais bien en savoir plus.
merci d'avance

Vincent

PS : merci à TB pour ce rappel (faire un check-up sur symantec) et bon courage à toi - j'ai eu W32, quelle plaie !

Vinyamar · le 07/01/2002 à 17h58

moi je crois que le vrai virus est bien implanté.
Y'a qu'à voir le nombre d'entre nous qui se sont arrachés les cheveux pendant l'interruption du site.
On est contaminés, je vous dis!
Y'a pas encore d'anti virus

ISENGAR · le 17/08/2011 à 01h42

Pour votre information, sachez, belles gens de Faërie, que l'ancienne adresse, connue des initiés, qui menait à un certain site appelé "Complete JRRT"* est joliement vérolée.
Ne vous laissez pas attendrir par le joli minois de l’hôtesse, car un cheval de troie au nom imprononçable se précipite sur votre PC à peine le site chargé...
D'ailleurs, vous pouvez virer le raccourci de vos favoris, "complete JRRT" n'existe plus à cette adresse depuis belle lurette...
Méfiance donc.

Autre site infecté : celui de Tookborough**, un site anglophone qui proposait une analyse de la toponymie de la Comté. Là aussi, un cheval de Troie hargneux se jette sur vous dès les premières secondes de connexion.

Le retour de l'ange sombre de Wellington et la pub faite autour de son prochain effort cinématographique expliquerait le regain d'attaque contre les sites estampillés "Tolkien" ?
Espérons que ce ne soit qu'une fausse alerte et que ces deux situations restent à la marge...

A votre service.

I.

* et ** bien entendu, je ne donne pas les adresses exactes de ces sites pour éviter que votre excès de curiosité bien naturelle ne vous précipite dans les bras du virus, ce qui m'embêterait fortement, surtout si votre protection n'est pas à jour :/

sosryko · le 17/08/2011 à 04h04

Merci pour l'info, Isengard, et effectivement, espérons que cela ne s'étende pas...

Laegalad · le 17/08/2011 à 11h56

Arf, moi qui me disait qu'une petite mise à jour pouvait être pas mal... :/

Silmo · le 17/08/2011 à 12h20

Mouaip, d'accord avec Sosryko...
De même, pourvu que ne s’étende pas le virus qui consiste à mettre un "d" à la fin d'Isengar :-D
Par contre, le virus de venir chaque jour lire ce forum nous ayant été inoculé très tôt, nous sommes vaccinés depuis belle lurette ;-)

Silmo

sosryko · le 17/08/2011 à 16h39

Silmo,
Je crois que mon inconscient ou quelqu'un d'autre me joue des tours car je me vois cette nuit faire attention ... Encore un acte manque qu'il faut Ajouter a ma longue liste ;-)

Druss · le 18/08/2011 à 19h48

Pour le complete JRRT, en s'y prenant bien sur Google, on trouve encore le TTA (le logiciel mis à disposition sur ledit site), qui plus est en version extended, sur des sites de téléchargement. Je l'ai trouvé en download torrent, pour ma part. Faut tester TTAee, ou completeJRRT, etc, sur Google.