Aller au contenu


Photo
- - - - -

virus


  • Veuillez vous connecter pour répondre
4 réponses à ce sujet

#1 mo;mo

mo;mo

    Power Member

  • Membres
  • 156 messages

Posté 20 mars 2004 - 09:30

slt tt le monde,

Depuis cet am, g un message ki apparait a l'ecran "autorite system....votre ordi redemerera dans 40 secondes". G vu sur un forum que ca pouvai etre une variante de blaster "pinfi" (pendant ce message, ouvrir une fenetre dos et taper : shutdown -a et le message disparait et l ordi ne reboot pas) mais quand je lance antivir ou le fix blaster, le programme s'arrete et l'icone disparait du bureau.....;(
Komment je peux faire pour enlever ce virus et guerir mon pc, si je peux pa utiliser les softs ki vont bien......
...il faut pt modifier la base??,

meci de vos reponses.
  • 0

PUBLICITÉ

    Annonces Google

#2 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 20 mars 2004 - 10:19

Bonsoir mo;mo, bonsoir à tous,

Voici une méthode pour débusquer les éléments infectés -> http://gerard.melone.../IT/IT-AV0.html

Voici une discussion sur Blaster -> http://forum.zebulon...showtopic=32146

Bonne chance !
  • 0

#3 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 20 mars 2004 - 10:28

Bonsoir mo;mo, bonsoir à tous,

Voici un Compte Rendu que je retrouve sur mon disque :

Blaster sur Windows XP Edition familiale
----------------------------------------



Démarrer/Exécuter/taper Shutdown -a puis cliquer sur OK
Ceci empêche simplement le redémarrage du système Windows XP programmé pour 60 secondes plus tard et laisse ainsi le temps de réparer convenablement.

Petites remarques à ce sujet :
- le coup du redémarrage toutes les 60 sec. est spécifique à XP
- Blaster accroît ses dégats de jour en jour, je veux dire que Blaster pris à ses débuts n'est pas très méchant ! laissé une quinzaine de jours :
--- NAV sera inopérant, ZA (et autres Firewall) sera inopérant,
--- vous ne pourrez plus copier de fichier d'une disquette vers le disque infecté,
--- vous ne pourrez plus lancer de programme depuis le disque
--- vous n'aurez plus accès à la corbeille
--- taper qqc sera affiché au rythme d'une lettre toutes les 3 secondes
--- etc.
- Blaster se comporte différemment sur les autres systèmes (W2K en l'occurrence)
- Nachi se comporte différemment aussi

Démarrer/Exécuter/taper services.msc puis cliquer sur OK
Dans la fenêtre Services, double cliquer sur "Appel de procédure distante (RPC)"/onglet Récupération/mettre "Première défaillance", "Deuxième défaillance" et "Défaillances suivantes" sur "Redémarrer le service"/Appliquer/OK
Ceci est équivalent au shutdown -a ; çà met un pansement !
Si l'infection est avancée, vous ne pourrez pas d-cliquer sur Appel de procédure distante !

Il faut encore éliminer le virus !

Passer l'antidote de Symantec que vous pourrez récupérer sur http://www.secuser.com/recherche/ etc.
Attention de ne pas confondre avec Welchi (alias Nachi, alias Lovesan et autres)
Là encore, une affection avancée et l'antidote dira que Blaster n'a pas été trouvé !

Si l'antidote ne fonctionne pas, il faudra désinfecter à la main en allant simplement :

- supprimer C:\WinNT\System32\Wins\SVChost.exe
- aller également tuer un fichier .exe dans un des dossiers démarrage (penser également à All Users)... nom qui varie et comporte de 3 à 4 lettres (le dernier que j'ai vu était WCU.exe)
- Attention, rechercher aussi C:\WinNT\System32\MBlast.exe dans le cas de Blaster.A ; penis32.exe (7200 octets) pour Blaster.B ; Teekids.exe (5360 octets) pour Blaster.C ; mspatch.exe (11776 octets) pour Blaster.D ; mslaugh.exe (6176 octets) pour Blaster.E ; enbiei.exe (11808 octets) pour Blaster.F
D'une manière générale, s'intéresser aux fichiers récents des répertoires WinNT, WinNT\System32
- supprimer 2 DLL avec une date correspondant à celle des fichiers exe repérés, situées dans C:\WinNT\System32
- aller aussi passer les services en revue... j'ai oublié les noms mais il parait qu'il y aurait 2 services en plus... je ne les ai jamais vus !
Ouf, voila pour le nettoyage manuel !

Une fois le virus éliminé, il faut encore éliminer cette fichu vulnérabilité en passant le patch 823980 de MicroSoft !

Pour les responsables Sécurité, il y a un utilitaire de Microsoft capable des scanner tous les ordis connectés sur le réseau pour afficher les Vulnérabilités !

Soit dit en passant, c'est bien Symantec (éditeur de Norton AntiVirus) qui est le champion des Antidotes... aucun autre éditeur ne l'égale !

--------------------

Je voudrais ajouter quelques mots à mes longs posts de manière à être complet sur le sujet de l'infection d'XP par Blaster.
L'infection d'XP par Blaster est assez impressionnante avec l'ordi qui redémarre sans cesse et le stress fait qu'on n'a plus l'esprit bien clair pour partir à la pêche aux infos et utilitaires, alors, voici !

-Infos sur Blaster : http://www.secuser.c...2003/lovsan.htm
(avec des liens qui envoient vers l'antidote et le patch de MS)
-Antidote FixBlast.exe de Symantec ( http://www.secuser.c...ndex.htm#Lovsan ) qui envoie vers Symantec -> http://securityrespo...er/FixBlast.exe
- Page de Microsoft http://www.microsoft...in/MS03-026.asp fournissant :
--- Liens vers le correctif de Microsoft pour tous les OS concernés
--- explications détaillées sur la vulnérabilité.

Surtout ne pas oublier que l'élimination du virus par l'Antidote (ou autre moyen) doit être suivie du passage du patch de sécurité de Microsoft !
--------------------


  • 0

#4 mo;mo

mo;mo

    Power Member

  • Membres
  • 156 messages

Posté 21 mars 2004 - 01:23

Bsr ipl,

merci pour ta reponse rapide,

supprimer C:\WinNT\System32\Wins\SVChost.exe
- aller également tuer un fichier .exe dans un des dossiers démarrage (penser également à All Users)... nom qui varie et comporte de 3 à 4 lettres (le dernier que j'ai vu était WCU.exe)
- Attention, rechercher aussi C:\WinNT\System32\MBlast.exe dans le cas de Blaster.A ; penis32.exe (7200 octets) pour Blaster.B ; Teekids.exe (5360 octets) pour Blaster.C ; mspatch.exe (11776 octets) pour Blaster.D ; mslaugh.exe (6176 octets) pour Blaster.E ; enbiei.exe (11808 octets) pour Blaster.F
D'une manière générale, s'intéresser aux fichiers récents des répertoires WinNT, WinNT\System32
- supprimer 2 DLL avec une date correspondant à celle des fichiers exe repérés, situées dans C:\WinNT\System32
- aller aussi passer les services en revue... j'ai oublié les noms mais il parait qu'il y aurait 2 services en plus... je ne les ai jamais vus !
Ouf, voila pour le nettoyage manuel !

Une fois le virus éliminé, il faut encore éliminer cette fichu vulnérabilité en passant le patch 823980 de MicroSoft !

Pour les responsables Sécurité, il y a un utilitaire de Microsoft capable des scanner tous les ordis connectés sur le réseau pour afficher les Vulnérabilités !

Soit dit en passant, c'est bien Symantec (éditeur de Norton AntiVirus) qui est le champion des Antidotes... aucun autre éditeur ne l'égale ! 


--------------------


je ne trouve rien de tout cela sur mon pc, je n'ai pas SVChost.exe, ni les autres dans C:/WINDOWS/System32.....
le fix de Symantec s'arrete tout seul au bout de qqes secondes..........

Si tu as des idées......
  • 0

#5 ipl_001

ipl_001

    Admin Espace Sécurité

  • Administrateur Espace Sécurité
  • 24 178 messages

Posté 21 mars 2004 - 10:08

Bonjour mo;mo, bonjour à tous,

Et un nettoyage à la main ?

... Voici une méthode pour débusquer les éléments infectés -> http://gerard.melone.../IT/IT-AV0.html...


  • 0









Sujets similaires :     x