une variante de blaster ...! [VIRUS] - Sécurité - Windows & Software
Marsh Posté le 01-12-2003 à 19:31:46
49625 fichiers analysés, 0 fichier(s) contaminé(s) sur vos disques.
en gros, je suis vert
Marsh Posté le 01-12-2003 à 19:45:07
un windows update serait + intelligent
Marsh Posté le 03-12-2003 à 15:04:02
qd la fenetre apparait va dans executer
et tapes "shutdown -a"
cela a pour effet de retarder le redemarrage
ensuite msconfig ds executer
et regarder les entrees de la base de registre
dans demarrage
les lignes suspectes sont celles qui comportent
les mots " servlces.exe, csrrs.exe, winhlpp32.exe" entre autres
tres proches des vrais fichiers systemes "services.exe, csrss.exe, winhlp32.exe"
il suffit de supprimer ces lignes, de deplacer les fichiers virus
et de redemarrer
enfin supprimer les fichiers virus.
Ces virus sont des variantes de gaobot.
Marsh Posté le 10-12-2003 à 15:17:07
Oulo a écrit : qd la fenetre apparait va dans executer |
+ 1, j'ai un pote qui la eut ce WE !
Marsh Posté le 14-12-2003 à 14:08:38
j ai le meme probleme !!! grave, je suis vert...je déballe Pc nouvo tout neuf, je l allume ...hop, premier pas sur le Net avec XP...une fenetre "RCP" et hop ! reboot a chaque fois que je me connecte sur le net...!!! mon Pc rame a mort au bout de qq minutes...
Franchement, ils pourraient mettre une note d information ds le manuel, c la moindre des choses!
en consultant differents forums, je me rends compte qu il faut dabord reperer le processus suspect. mais comment trouver le bon ?
Marsh Posté le 14-12-2003 à 21:50:37
un pote a le meme souci.. mais sous win2000. existe t'il un fix chez symantec?
Marsh Posté le 14-12-2003 à 21:57:47
La premiere chose à faire quand on formatter un pc c'est d'y installer quelques patchs de securité comme le patch corrigant la faille RPC "KB823980", vous avez juste à mettre ce fichier sur une disquette 1.23Mo pour XP et 900Ko pour 2000...
Sinon quand Windows XP sortira une version supérieur aux SP1a la faille sera bouché directement à l'installation et pour Windows 2000 quand ils sortiront une version supérieur aux SP4 ce sera bouché aussi. En attendant utilisez la solution de la disquette et ne vous connectez surtout pas avant d'avoir bouché cette faille sinon en moin de 10 minutes vous êtes contaminé voilà sur ce @+
Marsh Posté le 14-12-2003 à 22:28:06
com21 a écrit : un windows update serait + intelligent |
evidament
mais les gens ne sont pas assez malin pour mettre leur systeme a jour
Marsh Posté le 14-12-2003 à 22:57:13
sKcyber > puisque tu as eu l'intelligence de faire une image de ton DD , il te suffit de restaurer a nouveau , mais en déconnectant physiquement la connexion internet, puis tu installes un firewall , à la limite le patch (je dis ça parceque perso , je ne suis pas satisfait du patch - c'est juste une impression perso - j'ai l'impression que ce patch est une capote trouée qui fout plus la m.. qu'autre chose ), puis remettre la connexion..
enfin vu l'heure que je t'écris ça je pense que tu l'a déjà fait..
Marsh Posté le 14-12-2003 à 23:02:22
Serveur a écrit : (je dis ça parceque perso , je ne suis pas satisfait du patch - c'est juste une impression perso - j'ai l'impression que ce patch est une capote trouée qui fout plus la m.. qu'autre chose ) |
il fait quoi de pas bien ce patch ?
Marsh Posté le 14-12-2003 à 23:17:16
c'est sur l'observation (personelle)des comportements des machines sous XP que je dis ça.. (Ce n'est que de l'observation), mais Sur les postes infectés puis virus éradiqués et patchés , j'ai remarqué des problèmes cotés surf avec IE, m'affichant trop souvent des "terminés" avec page blanche..rien à faire obligé de fermer la session .. 'ces problèmes n'existaient pas avant) et d'autres part je remarque que ceux patchés se reprennent très vite des variantes..
Je n'ai pas d'explication vraiment , sinon que je remarque que je ne suis pas le seul à le remarquer ( http://forum.hardware.fr/forum2.ph [...] h=&subcat= )même si je ne sais pas pourquoi encore..
Marsh Posté le 14-12-2003 à 23:29:37
Serveur a écrit : et d'autres part je remarque que ceux patchés se reprennent très vite des variantes.. |
j'ai windows update a jour
aucun firewall et je me prend pas de variante de blaster pourtant je suis 24h/24 sur le net
le probleme vient d'autre part
Marsh Posté le 14-12-2003 à 23:52:35
bon allez, je laisse tomber, je pense que je vais faire jouer le SAV quitte a attendre qq semaines...triste noel lol
Marsh Posté le 14-12-2003 à 23:55:33
peut-être..
comme je te l'ai dit je ne fais que constater des comportements (des symptômes identiques) qui n'existaient pas avant ce patch sur des postes XP qui ont été infectés,et pas ceux qui y ont échappés et patchés, mais comme je l'avais dit sur un autre post, effectivement tout le monde qui a été infectés et patchés devraient avoir le même problème ce qui n'est effectivement pas le cas ..(et donc pas le tien.. tu n'as pas été infecté à la base aussi je pense, mais ça ne change rien..). Je pense aussi qu'il y a un autre facteur, mais je n'ai pas trouvé.
Petite question, tu n'as pas de firewall.. c'est parceque tu as paramétré le firewall XP.. ou tu n'a rien du tout ?
Marsh Posté le 15-12-2003 à 00:09:46
Gros probleme d'UC à 100% pour ma part et des phénoemenes semblables à MSbalst tel que blocages en naviguant sur le net, ainsi que le controle des taches (alt+ctrl+supp) inaccessible.
-En réussissant à voir les processus actifs, rien d'anormal mais je soupsonne un svchost.exe d'etre reponsable.
-scan d'AVP et adaware inéficaces, idem pour les maj fix win update et toujours le meme probleme.
En gros je n'ai plus qu'à formater car je ne trouve pas
Marsh Posté le 15-12-2003 à 00:12:22
ben c'est surprenant , car certains patchs contre les virus, ne sortent qu'APRÉS que le virus soit sorti.. j'ai vu que tu étais chez free..tu es dégroupé ?
Marsh Posté le 15-12-2003 à 00:15:11
DAFT974 a écrit : Gros probleme d'UC à 100% pour ma part et des phénoemenes semblables à MSbalst tel que blocages en naviguant sur le net, ainsi que le controle des taches (alt+ctrl+supp) inaccessible. |
tu t'étais déjà choppé le virus avant ou pas ?
Marsh Posté le 15-12-2003 à 00:16:23
dje33 a écrit : un firewall ne protege pas contre les virus |
, tu considères MSblast comme un virus ou pas ?
Marsh Posté le 15-12-2003 à 00:18:51
Serveur je suis effectivement sur free dégroupé, apparement c'est en tombant sur un site pas tres fréquentable que j'ai du me choper cette s******ie, je ne comprend vraiment pas ce qui se passe mais en tout cas c'est embetant tous ca.
ya t-il une solution mircale?
Marsh Posté le 15-12-2003 à 00:29:08
non free dégroupé était une question pour dje33, car il se promenait sans firewall..mais bon cela réponds à une de mes question.. mais tu ne me dis pas si tu avais déjà eu MSblast avant..
pour le reste, je n'obtiens pas toujours satisfaction des reformatages XP, généralement revenir à une sauvegarde antérieure donne de meilleurs résultats, mais faut l'avoir fait au moins une fois..
Marsh Posté le 15-12-2003 à 00:32:28
Serveur a écrit : |
c'est un virus qui se repend en utilisant une faille RPC sur le port 135 et 138 des PC equipé de windows 2000 ou windows XP.
deux solutions pour ne pas l'attraper
1/ avoir un firewall qui bloque les ports 135 et 138
2/ avoir un systeme a jour qui corrige cette faille de securité (le patch etait dispo 1 mois avant l'apparition de ce virus)
avoir un firewall n'empeche pas d'avoir des virus. Il y a des millions de virus qui peuvent infecter ton PC même si tu a un super firewall.
ecit : je n'ai pas eu blaster parce que je mets a jour régulierement mon systeme d'exploitation
Marsh Posté le 15-12-2003 à 00:50:58
oui j'avais compris que tu n'avais pas de virus avec les MAJ.
perso je n'ai pas eu blaster, parceque firewall et avant cela parceque sous 98.
Cependant il existe beaucoup de virus, on est d'accord, mais la pluspart vont lancer une opération, un exe, un service... et un firewall (et c'est bien son nom) empêchera ce type d'opération s'il est configuré pour..
tandis que les MAJ (et c'est leur noms : une Mise à jour!) ne sortent pas toujours avant ! et donc à temps.. (je ne dis pas qu'elles sont inutiles)
perso (et encore une fois ce n'est que mon opinion perso), je trouve une meilleure protection dans le système : image DD + firewall qu'un simple winupdate... mais bon au vu de ton cas ils semblent te suffire..
Une remarque quand même , j'ai eu des clients qui étaient à jour , et se sont pris des virus quand même..
par contre DAFT974 > cela m'aurait intérréssé que tu me dises si ton PC s'était déjà pris le virus avant, ou si tu avais passé l'utilitaire mblastfix de symantec , car tu présente aussi les même symptômes que j'observe depuis quelques temps (voir ci-dessus)..
Marsh Posté le 15-12-2003 à 01:06:27
Serveur a écrit : |
un firewall ce n'est pas un antivirus
je crois que tu confond les deux
Marsh Posté le 15-12-2003 à 01:11:30
non, je ne confond pas.. un antivirus va fonctionner généralement sur une base de connaissance (donc l'obligation de devoir la mettre à jour régulièrement) + certaines opérations dont les virus ont coutumes de faire et cela sera le côté préventif de l'antivirus.. voilà pourquoi un anti-virus qui n'est pas mis à jour (et je dis bien A JOUR, donc chaque jour!) est comme une capote trouée..et encore même à jour, tu te prends encore des virus!
[edit] correction en bas concernant le firewall
Marsh Posté le 15-12-2003 à 01:13:07
le but premier du firewall c'est pas de proteger contre les virus
d'ailleur contre certain virus un firewall ne fera rien du tout
Marsh Posté le 15-12-2003 à 01:25:39
je ne dis pas le contraire (il me semble),.. certains virus peuvent peut-être utiliser un mode d'attaque autre que le démarrage d'un processus (je n'en connais pas perso, mais je ne suis pas experts en virus), mais je trouve perso(c'est encore une opinion personelle) que si un virus nouveau apparaissait , le firewall a plus de chance d'empêcher celui-ci d'agir (si seulement des applis défini ont le droit de se lancer) qu'un antivirus dont il ne figurerait pas dans la base..
Marsh Posté le 15-12-2003 à 01:28:02
un firewall bloque le demarage d'un processus qui n'utilise pas la connection internet ? (exemple bete tu recoit un virus en piece jointe dans un mail et tu lance le virus)
Marsh Posté le 15-12-2003 à 01:34:52
[EDIT] je corrige ici car tu as raison sur ce point, il me semble que le firewall ne le fera que sur des protocoles et s'il bloque les processus autrement que via des protocoles, c'est plus qu'un firewall (cela devient comme winprotector, une appli a part entière qui dépasse le cadre du firewall ] comme il est possible d'éditer une liste d'applis seulement autorisés (avec le chemin et le nom du fichier), il sera particulièrement difficile pour un appli extérieure de se lancer ... bien sûr le virus peut renommer du même nom un fichier exe situé à un même endroit.. mais il faut qu'il opère cette opération, mais bon certains virus maintenant connaissent le mode ou les principaux firewalls , donc rien n'est 100% full safe.
Marsh Posté le 15-12-2003 à 01:55:37
Serveur a écrit : oui, un programme utilisera un port pour fonctionner, |
si il n'utilise pas la connection internet je vois pas trop comment il pourrait faire
Marsh Posté le 15-12-2003 à 02:05:13
j'ai réedité.. je le remets ici..[EDIT] je corrige ici car tu as raison sur ce point, il me semble que le firewall ne le fera que sur des protocoles et s'il bloque les processus autrement que via des protocoles, c'est plus qu'un firewall (cela devient comme winprotector, une appli a part entière qui dépasse le cadre du firewall ]
sorry, tu vois je vérifie .. je vais devoir aller me faire
Marsh Posté le 15-12-2003 à 09:26:47
Serveur a écrit : |
Oui, j'ai été touché par le ver blaster lors de l'attaque massive, mais je n'ai pa eu de difficulté à m'en débarasser, depuis j'ai formaté mon disque, et mon systeme fonctionnait nickel jusqu'à ce que je me prenne ce truc!
en passant le fixbalst de symantec, il plante lors du scan des mes favoris (message d'erreur), je n'ai toujours pas la solution.
Marsh Posté le 15-12-2003 à 12:18:00
OK, ben ça en fait un de plus sur qui je constate ce symptôme..
Tu n'as pas de point de sauvegarde crée ? il te suffirait juste de retaurer le système à une date antérieur..
sinon désolé,j'ai pas de soluces..
Marsh Posté le 15-12-2003 à 12:49:54
le patch c'est pas fixblast de symantec qu'il faut mettre mais windows update
Marsh Posté le 15-12-2003 à 20:42:39
Serveur a écrit : OK, ben ça en fait un de plus sur qui je constate ce symptôme.. |
Apparement il n'y a pas de remede, j'ai du utiliser plus de 20 utiliataires différents er rien n'est trouvé, je vais devoir formater et faire mes sauvergardes avant.
merci encore
Marsh Posté le 15-12-2003 à 20:44:07
pense a telecharger la pacht antiblaster de microsoft et a l'installer avant de connecter ton PC a internet
Marsh Posté le 01-12-2003 à 19:22:02
je viens de ghoster ma machine. (restauration)
lorsque je me suis connecté au net, g eu la fenetre RCP (comme blaster)
la, je me suis dit, bon, c pas trop grave, c encore ce blaster.
g telecharger le dernier outil de symantec.. scann... et que dalle..
le truc, c que norton antivirus corporate est installé, mais je peux pas le lancer, car il se fait killer par ce virus. lorsque j'ouvre regedit, la fenetre se ferme apres 15 secondes. il doit y avoir un lien avec svchost... il me semble, il y en a un nombre plus important que d'habitude, mais je c pas vraiment a koi cela correspond
je suis en train de telecharger kapersky et je scann le pc sur le site de symantec, je c pas trop koi faire..
vs en pensez quoi ?
merci