>Bonjour, Je suis étudiant en pharmacie et j'ai subi ce matin les assauts répétés de sircam sur la machine que j'utilise dans mon hôpital... >salut je tecris du canada et je suis un etudiant francais et comme je suis ici pour un semestre detudes eh bien jai apporte mon portable avec moi et le probleme cest que jai ete infecte par le virus sirc32 >bonjour, je me suis rendu sur ton site car j'ai un probleme avec un virus nommé Sirc32.exe. Virus que tu connais bien d'ailleurs. >j'ai tenté d'utiliser vos astuces, mais apparemment le ver a grandi, on ne peut démarrer sous DOS...
Donc, ci-dessous, un petit récapitulatif, après avoir répondu individuellement à tous. Veine, ils disposaient d'une autre machine pour pouvoir mailer et surtout récupérer une disquette de démarrage et/ou nettoyage... (comme d'hab, c'est ce qu'on oublie toujours alors que c'est la toute première chose à faire dès le premier démarrage de son ordi). Nom = gavaga Pays = centre france commentaires = Mon problème (de virus ou de registre), en bref : bonjour, j'ai recu un courrier que j'ai ouvert, et que j'ai vite refermé car rien ne s'affichait en regardant dans "chercher les virus" de mon serveur de courier j'ai vu que j'avait récupéré worm-klez.h j'ai envoyé à la poubelle et vidé la poubelle. ensuite dans chercher les virus plus rien n'apparait, est-il parti? Ou récuperer un patch pour réparer? comment ce virus agit-il? merci bonjour si vous avez effacé le courrier sans l'ouvrir, aucun risque ! le ver aura disparu avec le mail effacé. Si votre antivirus est à jour et n'a rien détecté : pas de problème. Enfin, pour plus de sûreté, vous pouvez télécharger entre autres sur le site de Symantec, un petit patch "fixklez" qui vous débarrassera de tout souci: Cliquer ici J'ai été visiblement infecté. Que s'est-il passé, sachant qu'à priori il n'y a jamais eu utilisation faite de la messagerie Outlook mais seulement consultation des mails sur le net par mon équipe, et peut être qq disquettes ? La réponse à la question est dans ces "qq disquettes" : C'est comme avec le VIH. Une seule fois suffit. Et pour le mail, êtes-vous sûr que personne n'utilise Outlook Express sur la machine ou sur le réseau auquel elle est éventuellement raccordée ? Cela dit, sircam se propage fort bien sans passer par les contrôles active-X d'I Explorer et Outlook (y compris avec Eudora). SALUT , je suis aller sur ton site, car j'ai un problem, j'ai été infecté par le virus, et g suprimé le fichier SIRC32 ne sachant pas ce que c t. Comme tu t'en doute, mon ordi déconne a plein tube now. J'aimerai savoir avant de réinstaller windows, si il est pas possible de trouver ce fichier quelque par. J'aimerai savoir ossi si c possible qu'un ami a moi me l'envoi, meme si il na pa la meme version de window. merci d'avance. Tu blagues ou quoi ? (:-\ Bon, inutile qu'un ami te le renvoie... c'est déjà fait : SIRC32 est le fichier créé par le ver. Tu es toujours infecté et ce n'est pas en l'effaçant que tu l'éradiqueras. Relis bien cette page, clique sur les liens, tu auras toutes les explications voulues... "Mon probleme est que j'ai ete infecte par le virus sirc32. Je l'ai effacé = grosse erreur : Maintenant à chaque fois que je lance une application ça marche pas..." Normal. Du reste, sirc n'est pas un virus mais un ver : il se propage en se collant à un autre fichier et n'entre en action qu'ensuite. Le problème du ver sircam et de ses épigones, c'est qu'il arrive sur le web avec un fichier attaché masqué pris au hasard (et à son insu) dans le disque dur de l'émetteur. De sorte que l'infecteur et l'infecté peuvent ne pas se rendre compte qu'ils propagent l'infection. Donc, se méfier toujours des mails dont la taille est inhabituelle, qui mettent du temps à se charger, qui font tourner le DD à la réception (la diode clignote). Idem à l'émission : si tu envoies un mail de 10 lignes et qu'il met trois minutes à s'uploader, il y a un pb... Et éviter dans la mesure du possible de faire des mailings (pour avertir qu'un nouveau virus - ou un nouveau canular - se propage). Ma machine est bloquée, j'ai essayé de lancer mon antivirus, mais impossible de démarrer une application... Normal : sirc se loge dans la corbeille et de là, modifie la base de registre Windows pour empêcher l'exécution des programmes : quand on clique sur un fichier *.exe, au lieu de pointer sur le shell d'exécution de Windows, on est renvoyé vers sirc qui en profite pour se dupliquer... Donc, quelque soit l'action exécutée sous Windows, (effacer, renommer, déplacer...) on propage l'infection. Quant aux programmes un peu plus élaborés, ils refusent de s'exécuter en indiquant qu'"aucune application n'est associée à ce fichier". Seule solution : créer sur celle-ci une disquette de boot avec un anti-virus (RECENT, jusqu'en septembre, Virusscan de MacAfee ne reconnaissait pas la signature de ce ver). Si l'on n'a pas d'antivirus sous la main, redémarrer en mode DOS (appuyer sur F8 quand s'affiche "démarrage de Windows..."),supprimer la corbeille (deltree C:\recycled) ou retirer ses attributs (dossier caché/système), aller dedans, effacer son contenu (del *.*). Idem avec les fichiers reg.dat et user.dat de la base de registre de Windows (c:\windows). C'est radical. Bien sûr, il faudra restaurer une version précédente de la base de registre... Sinon, réinstaller windows à partir du CD-Rom d'installation. Le mieux est toutefois de redémarrer en mode DOS avec une disquette (vérifier - et modifier éventuellement - dans le setup l'ordre de démarrage : A: puis C: pour démarrer sur disquette) avant de procéder - depuis la disquette - aux manips indiquées ci-dessus. Mais, bis repetita, l'idéal est de partir d'une disquette de boot anti-virus (comme celle d'Ontrack, par exemple) qui créé un ram disque permettant d'accéder au cd-rom pour refaire une installation ou de lancer l'antivirus. Je peux plus rien faire brancher un graveur en externe, rien du tout. Là aussi, normal, puisque c'est l'exécution de Windows (et de ses pilotes) qui est plantée. Rappelons encore une fois qu'en dehors de Windows NT/2000 et jusqu'à Windows XP, Windows n'est qu'une interface de présentation, une surcouche logicielle plaquée sur DOS qui reste le vrai système d'exploitation. Impossible d'accéder à la base de registre. On ne peut y accéder que sous DOS, puisque les utilitaires windows comme regedit ou registry fixer sont devenus inaccessibles. (Mais normalement on peut toujours démarrer DOS sur disquette). En redémarrant sous DOS depuis Windows, ça ne marche pas il me dit qu'il ne trouve pas le user.dat, et il me dit aussi qu'il n'y a pas de versions antérieures du regedit... Normal que DOS ne marche pas en fenêtre Windows, de toute façon, en fenêtre dans Windows on ne peut pas agir sur le système puisque les fichiers à modifier éventuellement sont occupés. Donc, lorsqu'il s'agit d'intervenir sur Windows, il ne faut pas le charger ! Pour démarrer sous DOS : aller dans le BIOS, le paramétrer éventuellement pour modifier l'ordre de boot (A: puis C:) et relancer à partir d'une disquette de sauvegarde. A défaut, une disquette de lancement créée sur un autre système peut faire l'affaire. Comment modifier le bios pour qu'il redemarre sous le lecteur A ? Au démarrage, aller dans le setup (selon le BIOS, appuie sur "Esc" ou "F2" ou "CTRL-ALt-Esc" ou "Ctrl-Alt-S"... Si l'on n'a pas la doc sous la main, regarder attentivement l'écran au démarrage : il affiche brièvement (avec le nom et la version du BIOS) la ou les touches à entrer. Pas pu le lire ou l'écran n'affiche rien ? Il y a une solution ! Une fois dans le setup, va dans le menu "démarrage" ou "startup" ou "boot sequence". Et là, coche l'ordre A, D, C (démarrage disquette, CD-Rom, Disque dur). puis "save and exit" ou "quitter en sauvegardant les paramètres". Introduire une disquette de boot protégée (languette poussée). Redémarrer. Comment renommer regedit.exe en regedit .com sous DOS ? cd windows (pour aller dans le dossier windows) rename regedit.exe regedit.com Mais une fois la désinfection effectuée, inutile, les programmes .exe et com seront de nouveau reconnus. J'ai tenté d'utiliser vos astuces, mais apparemment le ver a grandi, on ne peut démarrer sous DOS... - la touche F5 ne fonctionne pas; texto la bête me dit : touche coincée détectée appuyez sur échap pour continuer, donc impossible de ne pas se retrouver sous Windows. Attention : F5 active en effet le mode sans échec : pas bon, vous vous retrouvez sous Windows ! il faut faire : F8 (démarrage dos avec config et autoexec) ou maj-F8 (démarrage avec validation pas à pas des fichiers config, puis autoexec) ou maj-F5 (démarrage dos sans config ni autoexec : mais là, on n'a plus aucun pilote dos, ni de mémoire haute - 640 ko seulement - et surtout un clavier qwerty. LA TOUCHE F8 ou maj F8 ne marche pas non plus, J'ai eue accès au DOS par une disquette de démarrage, mais le hic c'est que je n'arrive pas a écraser le user.dat, même en essayant de changer ses attributs (par a:attrib -h -r -s c:\windows\*.* ou a: attrib -h -r -s c:\windows\user.dat ou directement dans c:\windows>attrib -h -r -s *.*) Je pense que la fonction attrib n'est tout simplement pas sauvegardé sur la disquette de démarrage, mais je ne sais pas où je pourrais le trouver et comment l'y placer (sous quelle forme) ? C'est qu'il faut au préalable enlever la protection du répertoire Windows qui a pu être mise au cours des manipulations virales : depuis a:, faites attrib -a -r -h -s c:\windows puis attrib -r -h c:\windows\user.dat attrib -r -h c:\windows\system.dat Si ça ne marche pas, vérifier par la commande : attrib c:\windows *.dat l'état de protection des fichiers *.dat. J'ai un portable avec un cd rom de restore et en fait je ne peux pas le lancer car cest un.exe. Que faire ? Normalement,avec un CD de restauration, pas de problème, il démarre directement, à condition d'aller dans le setup de l'ordinateur pour lui demander de booter d'abord sur le CD, et ensuite sur le disque C. Mon disque dur est réparti en deux c et d. Si je formate le c est ce que le d sera toujours intact ? en fait je suis un peu dans un gros petrin, et je peux meme pas faire de disquette de demarrage. On peut effectivement ne formater que C (avec format c: /s mais uniquement à partir d'une disquette ou d'un CD-Rom, puisque les commandes DOS (fdisk, format... et surtout command.com) se trouvent sur la partition C (partition primaire), qui est infectée. Et avec DOS/Windows, il faut que le noyau du système soit installé sur un disque A: ou C: (défini comme partition primaire). Je me sers de ma machine pour faire tout un tas de pages web, j'ai donc eu à télécharger pas mal de progr (les meme que chez moi d'ailleurs) genre php edit easyphp et autres. Solution : * Garder toujours sous la main une disquette de démarrage. Celle de Windows, mais tous les antivirus (Norton, Ontrack, Panda, McAfee, etc.) proposent d'en créer une (et de la mettre à jour régulièrement). * Ne pas télécharger des exe (programmes) ou des dll (bibliothèques de pilotes) sur n'importe quel site, et en tout état de cause, TOUJOURS les passer à l'antivirus. * Se méfier si l'on travaille en réseau et éviter (autant que possible) que les copains se servent de son ordinateur... N'oublions pas que jusqu'à l'avènement du net, la disquette était le moyen de propagation idéal. Elle le reste toujours. * Mettre à jour régulièrement ses tables de virus (sinon ça ne sert à rien) * Ne pas ouvrir systématiquement tous les mails - vérifier l'en-tête, se méfier des fichiers attachés. Une fois sircam détecté, j'ai utilisé l'utilitaire de Symantec (petit progr spécial sircam) qui me conseillait de répéter l'opération en safe mode.....chose faite et message de réussite suivant, je relance la machine et là......encore infecté...je recommence.....et hop encore infecté...tout celà en l'espace d'une heure. Alors je retire manuellement les lignes (4 ou 5, correspondant à priori au nombres d'essais de l'antivirus) du genre : @win /..../sircam.exe (dans autoexec.bat je crois). Bref une fois fait je relance, et hop encore contaminé :-(( Très énervé je lance une recherche avec le texte "sircam" sur l'ordi entier et là plusieurs fichiers ... j'en retire qqun....je redémarre et là ecran rouge sans doute de l'antivirus Norton (qui était installé [je ne le savais pas])..... s'ensuit le demarrage de Win et très peu de choses présentes sur le disque :-(((((... Je reboote et là !!!!!!! plus de boot sector!!! En cas d'infection,surtout pas tout arrêter pour redémarrer et ne pas balayer à la main les répertoires en ouvrant, effaçant, déplaçant, renommant des fichiers, étant donné que c'est un excellent moyen d'assurer la propagation de certains vers. C'est certes tentant, mais cela ne résout pas le problème en profondeur : en croyant effacer le ver, on le duplique. J'ai réinstallé Windows...mais dans un nouveau répertoire car il ne reconnaît pas l'existence de l'installation précédente et donc j'ai tout perdu ! Nul, quoi ! Quoique certains utilitaires peuvent récupérer un disque dur même avec une FAT ou un secteur de démarrage effacés, voire un disque reformaté... êtes-vous prêt à investir 3000F dans un logiciel ou payer un service comme "Remote Recovery" ? Bref,mieux vaut : * Songer à effectuer régulièrement une sauvegarde du ou des disque(s) dur(s)... (ou à tout le moins des documents). Comme je suis parano, je sauve régulièrement mon travail toutes les dix minutes sur plusieurs supports différents, une sauvegarde config avec Ontrack chaque jour, et un back-up système par semaine... Même sans infection virale, on n'est jamais à l'abri d'une grosse panne système (crash de disque dur, surtension...) Je n'arrête pas de recevoir des mails qui me semblent suspects (provenance inconnue, fichiers doc attachés de grande taille, etc.)... Comment m'en débarrasser - ou surtout ne plus les recevoir. Parfois, ils bloquent complètement ma BAL... Qu'il s'agisse de virus ou de spam, on peut configurer son client de mail pour ne lire les courriers qu'en mode texte. C'est peut-être moins joli mais il y a un avantage insigne : tout ce qui n'est pas du pur texte (ascii, html) est aussitôt révélé. C'est que les chevaux de Troie, vers et virus peuvent fort bien arriver sous la forme d'un fichier maquillé avec une extension document ou image (c'est une grosse faille de Windows qui permet d'accepter sans sourciller des fichiers "toto.exe.doc" ou "tutur.bat.jpg"...) Ou comment faire le canasson pour avoir du foin...(:-@ J'ai un certain norton canasson13 qui me fait chier, ma souris rame, mes connexions internet deviennent de la merde et je suis obligé de d'éteindre le pc sans passer par redémarrer. Au bout de 10 minutes environ un message se met sur mon écran et me dit : NO, don't use NumLock ! Numbers hurt me ! avec une icone ok en dessous sur laquelle je clique une trentaine de fois avant de voir apparaitre un texte disant :"you sillie newbie !" ou "you've been hacked !" sur toute la page. Si je ferme les fenetres tout le systeme plante, actuellement elles sont réduites pour que je puisse écrire. Je suis vraiment débutant en informatique alors pouvez vous me sortir de cette galere sans employer de termes trop durs ? Merci d'avance ! Là, c'est la totale : ta lettré résume à peu près tout ce qu'il ne faut pas faire lorsqu'on panique à la suite d'une une attaque, avant de se faire traiter de "pauvre gland de débutant" et bombarder de messages narquois... Petite consolation, ce canason13 (avec un seul "s") est un vieux cheval de retour (il va sur ses trois ans...). Comme son nom l'indique, c'est un cheval de Troie, qui créé une série de désordres programmés (messages d'erreur, souris folle, ralentissements, blocages de touche... que tu as fort bien décrits) assortis de commentaires humoristiques du style : "ah ce mulot à la con" "c koi ce bordel" "ah ça va remarcher". Solution : redémarrer avec une disquette de boot propre et réinstaller les fichiers de registre et win.ini. Une simple recherche sur le Net avec Google permet sinon de télécharger des patches permettant de réparer automatiquement les fichiers endommagés. Quand on s'y prend assez vite, on peut également procéder soi-même à la réparation. Aller dans la racine et y effacer les deux fichiers : c:\Msie5.exe c:\00.txt Ouvrir regedit, y chercher les entrées : HKEY_LOCAL_MACHINE/Security/Beef13/Canasson13/ HKEY_LOCAL_MACHINE/Config/Last/00/ et les effacer. Enfin, faire msconfig, aller dans win.ini, effacer l'entrée : Run=Msie5.exe Si on s'y prend trop tard, redémarrer en mode DOS (appuyer sur F8 pendant le lancement), et procéder aux mêmes manips sous DOS. On peut également restaurer un état antérieur de la base de registre, mais vérifier la date de celle choisie, car il y a un risque que les sauvegardes antérieures aient été déjà altérées... Mais comme toujours, et dans tous les cas, rien ne vaut un bon antivirus (et dans le cas présent, il n'avait même pas besoin d'être mis à jour, vu l'âge dudit canasson...) Je voudrais désinstaller Outlook Express. Est-ce possible ? Sous Win95 ou 98, oui. La solution la plus simple est de désinstaller et réinstaller Internet Explorer (ou d'en profiter pour faire la mise à jour de la version 6), et de décocher les cases d'installation d'Outlook. Tout simplement. Il suffit ensuite de supprimer du bureau les innombrables icônes inutiles qu'Explorer se plaît à rajouter, les éventuelles icônes d'Outlook qui restent et c'est bon. Il reste un dossier Outlook Express sur le disque dur, mais il est vide (inutile de l'effacer, Windows le recréé à chaque fois...) A propos d'Explorer, ne pas oublier de télécharger sur le site Microsoft le dernier patch de mise à jour de sécurité - valable même pour le tout récent Explorer 6. Sacré Billou :-@ !
Impossible de démarrer sur A ? Oublié la combinaison de touches pour accéder au BIOS ? Un autre moyen de forcer le système à ne pas démarrer est de créer une erreur en débranchant le clavier AVANT de rallumer la machine. On se retrouve avec un message d'erreur qui permet d'accéder au disque dur. En outre, ledit message invite à réparer la configuration en modifiant celle-ci et conseille donc d'entrer dans le setup... en indiquant la combinaison de touche adéquate. Et voilà ! Bon courage à ceux qui se sont retrouvés bien involontairement invités au Sirc et merci pour vos réactions (je pense à Antonin, Cengiz de Montréal, Cédric, Hélène, Marike, Nicole...). Prudence, donc, mais on peut toujours s'en sortir, avec un minimum de précaution et a little help from your friends .	sircam/sirc32 : Adresses de référence Les forums de Memoclic. Ontrack Document de F-Secure Document de NAI Document de Sophos Document de Symantec Document de Trend Micro Information du CERT/CC

ATTENTION VIRUS ! CECI N'EST PAS UNE BLAGUE ! INFORMATION IMPORTANTE

Vérifiez que votre disque n'est pas infecté par un virus qui agit à retardement, programmé afin de devenir actif un jour. A cause du délai d'activation, il n'est pas détecté par les logiciels antivirus. Si jamais vous l'ouvrez, il efface tout votre disque dur ! Ce virus appelé SULFNBK.EXE est un ver qui se propage par e mail et infiltre le dossier 'C:\WINDOWS\COMMAND'. Si vous l'avez trouvé, vous devez contacter toutes les personnes à qui vous avez envoyé un mail depuis quelques mois et leur transmettre ce message immédiatement car le virus se propage par le courrier.

... accompagné d'explications détaillées pour effacer ledit programme prétendument infecté et le vider la corbeille après l'avoir piétiné longuement, au cas où la bestiole bougerait encore ;o-), vous êtes tombé sur un hoax.
En fait, l'infecté, c'est vous. Car le virus n'existe que dans la tête de ceux qui propagent ce mail (même si au bout du compte, les résultats sont les mêmes : parano, parano!). Ce canular venu du Brésil (et rédigé en portugais) a été décliné en anglais et maintenant en français.
En réalité, SULFNBK.EXE est un utilitaire Windows bien anodin. Il fonctionne sous Dos et sert tout benoitement à restaurer les noms longs de fichiers. Si jamais vous l'avez effacé malencontreusement, sachez toutefois qu'il n'a aucune influence sur le fonctionnement du système.
Néanmoins, pour le restaurer, si vous n'avez pas d' "UNDELETE" ou d'utilitaire de restauration, réinstallez-le à partir du CD de Windows ou du dossier de votre disque dur sur lequel vous avez pris soin (comme on l'a déjà conseillé ici) de recopier vos fichiers d'installation.
Un contrôle facile : chercher le fichier à l'aide de "fenêtre-F" puis clic-droit "propriétés". Le programme SULFNBK.EXE fait 44ko (45056 exactement) et date de 5 mai 1999. Il en existe certes une version infectée par un ver (W32.Magistr.24876@mm), mais dans ce cas, sa taille gonfle à 78ko et surtout il est aisément découvert et éradiqué par n'importe quel antivirus mis à jour depuis moins d'un an !
Quant à l'affirmation selon laquelle le fait qu'il soit dormant empêcherait les programmes antivirus de le détecter, elle relève d'une sombre crétinerie : comme la majorité des virus/vers et chevaux de Troie fonctionnent ainsi (par déclenchement programmé ou retardé), aucun antivirus ne détecterait jamais rien. En fait la détection se fait grâce à la signature virale, la date de mise en oeuvre n'a strictement rien à y voir.
Comme dit un petit rigolo, le virus le plus dangereux s'appelle Windows, il est tapi sur les disques depuis une quinzaine d'années et se matérialise par une moche fenêtre bleue au démarrage et des plantages répétés de votre machine. Le seul moyen de l'éradiquer est de démarrer sous Dos et de faire "FORMAT C:\" :o->
D'ailleurs, je ne désespère pas de voir bientôt apparaître un message paniqué du genre : "vérifiez sur la racine de votre disque, si vous y trouvez un programme appelé "command.com", effacez-le toutes affaires cessantes ! c'est un terrible virus américain signé B.G.