ipl_001

Bonsoir à tous, Je voudrais ajouter quelques mots à mes longs posts de manière à être complet sur le sujet de l'infection d'XP par Blaster. L'infection d'XP par Blaster est assez impressionnante avec l'ordi qui redémarrer sans cesse et le stress fait qu'on n'a plus l'esprit bien clair pour partir à la pêche aux infos et utilitaires, alors, voici ! -Infos sur Blaster : http://www.secuser.com/alertes/2003/lovsan.htm (avec des liens qui envoient vers l'antidote et le patch de MS) -Antidote FixBlast.exe de Symantec ( http://www.secuser.com/telechargement/index.htm#Lovsan ) qui envoie vers Symantec -> http://securityresponse.symantec.com/avcen...er/FixBlast.exe - Page de Microsoft http://www.microsoft.com/technet/treeview/...in/MS03-026.asp fournissant : --- Liens vers le correctif de Microsoft pour tous les OS concernés --- explications détaillées sur la vulnérabilité. Surtout ne pas oublier que l'élimination du virus par l'Antidote (ou autre moyen) doit être suivie du passage du patch de sécurité de Microsoft !

Bonsoir Gen, Sinus, dduduche, tesgaz, bonsoir à tous, Gen, ton lien n'est pas bon, il faut un L minuscule -> http://gen.system.free.fr/merci-gen/exe/layout.dll Merci pour ta version Française !

Bonsoir Krystyna, bonsoir à tous, Merci pour ta réponse ! - la clé d'Internet Explorer : tu as raison mais dans ma tête, c'était une clé ProductKey d'IE... qui n'existe pas ! - les clés Organisation et Propriétaire de MS-Office 97 Pro : non, dans mon W2K, je n'ai pas de clé HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME) et encore moins de User Info ! Merci !

Bonjour Niico, tesgaz, Y@kuz@, Buccaneer, Maeke, bonjour à tous, Fais attention, nettoie bien ton système (et surveille les leds de ton modem) parce que lorsque tu as des trojans, ton firewall les laissera passer car tes communications viennent de TON système... si la demande vient de ton système, le créateur du Troyen peut s'introduire chez toi sans que ton firewall ne l'en empêche (ta comm est une comm sortante) !

Bonjour tesgaz, pixyle, bonjour à tous, tesgaz, merci pour tes super lignes en complément des miennes ! tu as tout à fait raison ! J'ai édité mon post précédent car je l'avais validé intempestivement... il a bien changé pour ceux qui ne l'ont eu qu'en première lecture ! (l'édition des messages est une super fonction permettant d'avoir des posts impécables !) Excusez moi pour ce post immense mais je crois qu'il est précieux ! je me suis rendu compte, à la lecture des réponses à ce fil de discussion que beaucoup, même parmi les membres éminents de Zebulon (ce qui n'enlève rien à leurs immenses qualités), confondaient un peu les choses ! Je crois que mon post expose, pas à pas, tout ce qu'il faut faire lors d'une infection par Blaster. Je n'ai pas donné tous les liens parce que je rédigeais en ligne et ne les avais pas sous les yeux ; je ne voulais pas saisir toute l'après-midi... si quelqu'un ne trouvait pas l'antidote ou le patch 823980 dont je parle, qu'il poste et je donnerai la précision !

Bonjour Pixyle, bonjour à tous, Je ne sais pas si shutdown /a fonctionne mais ce que je peux te dire c'est que moi, j'ai utilisé : Démarrer/Exécuter/taper Shutdown -a puis cliquer OK Ceci empêche simplement le redémarrage du système Windows XP programmé pour 60 secondes plus tard et laisse ainsi le temps de réparer convenablement. Petites remarques à ce sujet : - le coup du redémarrage toutes les 60 sec. est spécifique à XP - Blaster accroît ses dégats de jour en jour, je veux dire que Blaster pris à ses débuts n'est pas très méchant ! laissé une quinzaine de jours : --- NAV sera inopérant, ZA (et autres Firewall) sera inopérant, --- vous ne pourrez plus copier de fichier d'une disquette vers le disque infecté, --- vous ne pourrez plus lancer de programme depuis le disque --- vous n'aurez plus accès à la corbeille --- taper qqc sera affiché au rythme d'une lettre toutes les 3 secondes --- etc. - Blaster se comporte différemment sur les autres systèmes (W2K en l'occurrence) - Nachi se comporte différemment aussi Démarrer/Exécuter/taper services.msc puis cliquer sur OK Dans la fenêtre Services, double cliquer sur "Appel de procédure distante (RPC)"/onglet Récupération/mettre "Première défaillance", "Deuxième défaillance" et "Défaillances suivantes" sur "Redémarrer le service"/Appliquer/OK Ceci est équivalent au shutdown -a ; çà met un pansement ! Si l'infection est avancée, vous ne pourrez pas d-cliquer sur Appel de procédure distante ! Il faut encore éliminer le virus ! Passer l'antidote de Symantec que vous pourrez récupérer sur http://www.secuser.com/recherche/ etc. Attention de ne pas confondre avec Welchi (alias Nachi, alias Lovesan et autres) Là encore, une affection avancée et l'antidote dira que Blaster n'a pas été trouvé ! Si l'antidote ne fonctionne pas, il faudra désinfecter à la main en allant simplement : - supprimer C:\WinNT\System32\Wins\SVChost.exe - aller également tuer un fichier .exe dans un des dossiers démarrage (penser également à All Users)... nom qui varie et comporte de 3 à 4 lettres (le dernier que j'ai vu était WCU.exe) - Attention, rechercher aussi C:\WinNT\System32\MBlast.exe dans le cas de Blaster.A ; penis32.exe (7200 octets) pour Blaster.B ; Teekids.exe (5360 octets) pour Blaster.C ; mspatch.exe (11776 octets) pour Blaster.D ; mslaugh.exe (6176 octets) pour Blaster.E ; enbiei.exe (11808 octets) pour Blaster.F D'une manière générale, s'intéresser aux fichiers récents des répertoires WinNT, WinNT\System32 - supprimer 2 DLL avec une date correspondant à celle des fichiers exe repérés, situées dans C:\WinNT\System32 - aller aussi passer les services en revue... j'ai oublié les noms mais il parait qu'il y aurait 2 services en plus... je ne les ai jamais vus ! Ouf, voila pour le nettoyage manuel ! Une fois le virus éliminer, il faut encore éliminer cette fichu vulnérabilité en passant le patch 823980 de MicroSoft ! ... ah oui... et ne pas repasser SP1 ! LOL Pour les responsables Sécurité, il y a un utilitaire de Microsoft capable des scanner tous les ordis connectés sur le réseau pour afficher les Vulnérabilités ! Soit dit en passant, c'est bien Symantec (éditeur de Norton AntiVirus) qui est le champion des Antidotes... aucun autre éditeur ne l'égale !

Bonjour pixyle, bonjour à tous, Je ne comprends pas ton étonnement ! Le SP1... car je suppose que tu parles bien du Service Pack 1 de Windows XP !... est antérieur à l'apparition de Blaster ! Blaster utilise une faille de sécurité que les ordinateurs patchés SP1 possèdent, c'est donc que SP1 ne corrige pas la faille en question ! Tu passes le patch machin-bidulle-980 Tu repasses le SP1 ensuite.... ce qui est anormal... il n'est pas étonnant que la faille de sécurité réapparaisse ! souviens toi la taille de la mise à jour Service Pack 1... SP1 comporte la faille de sécurité RPC dans ses lignes de programme ! Si tu installes un programme qui te remplace une DLL, si, ensuite, tu viens remettre la vieille DLL... étonne toi d'avoir un bout de programme ancien ! C'est pareil pour la vulnérabilité RPC ! le SP1 a remis la faille ! rien d'étonnant !

Bonjour bouli, Greywolf, bonjour à tous, Je n'ai jamais eu çà entre les mains mais il ne me semble pas difficile ni spécifique ni long à démolir, d'écrire alternativement des données en début de disque puis en fin de disque, etc. çà m'étonnerait que le disque tienne 6 mois avec de tels à-coups... mais j'ai seulement lu des choses, jamais vu !

Hi Krystyna, I'm very glad to meet you here! You're welcome on Zeb'!

Bonsoir à tous, En DOS, dans un fichier batch, lorsque je voulais analyser un paramètre passé dans la ligne de commande, je passais ce param en majuscules et j'analysais ensuite par IF %1.==ZEBULON. goto Zeb Ceci laissait l'opérateur entrer ZEBULON, Zebulon, ZeBuLoN, etc. à sa guise. Sans celà, j'aurais à imposer une saisie en majuscules ou j'aurais à tester les diverses possibilités : IF %1.==ZEBULON. IF %1.==zebulon. IF %1.==Zebulon. etc. Pour ce faire, je plaçais la valeur dans la variable d'environnement PATH : SET TOTO=%PATH% SET PATH=%1 SET PARAM=%PATH% SET PATH=%TOTO% IF %PARAM%.==ZEBULON goto Zeb Mais, ceci ne fonctionne plus avec Windows 2000 ! S'il vous plaît, quelqu'un saurait-il comment transformer un paramètre en majuscules ? | Je veux dire que ce qui est affecté à la variable PATH n'est plus mis en | majuscules par le système. Quelqu'un a-t'il une astuce ? Merci,

Bonsoir à tous, Je suis à la recherche de clés dans la base de registres... je les connaissais sous Windows 98, je ne les trouve plus sous Windows 2000 ! quelqu'un saurait-il ? Voici sous Ws98 ! - la clé relative à la zone DVD : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion, Valeur "DVD_Region" - la clé de Windows : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion, Valeur "ProductKey" - la clé d'Internet Explorer : HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Registration, Valeur "ProductID" - les clés Organisation et Propriétaire de MS-Office 97 Pro : HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info, Valeurs "DefCompany" et "DefName" - la clé de MS-Office 97 Pro : HKEY_LOCAL_MACHINE\Software\Microsoft\MS Office 97 Professional\97.2.0.0602(1036)\Registration, Valeur "ProductID" Tant que j'y suis, une autre petite question : Dans un fichier de commandes, je voudrais afficher la version du Bios de ma machine Dell (Bios Phoenix) : dans RegEdit, je peux lire "PhoenixBIOS 4.0 Release 6.0" (HKLM\Hardware\Description\System, Valeur SystemBiosVersion de type REG_Multi_SZ) et sur l'écran de mon fichier de commande : "=hex(7):50,00,68,00,6f,00,65,00,6e,00,69,00,78,00,42,00,49,etc. type "REG_Multi_SZ", est-ce là le problème ? Merci de vos réponses,

Bonsoir Gen, bonsoir à tous, Gen... du nouveau ! du boulot si tu es en forme ! Je viens d'essayer HideOutlook.exe et il y a des anomalies chez moi ! Comment vais-je pouvoir assurer la promo de ton HOE ? Windows 98SE, Outlook Express v6.00.2800.1123 avec plusieurs identités ! - j'ai eu à installer MSMAPI32.OCX dans C:\Windows\System... pas de problème pour çà ! - je ferme OE - je lance HideOutlook, le logo OE apparaît : --- je récupère l'icône dans Systray mais avec le point d'interrogation et la bulle "Outlook Express non détecté" --- OE est démarré en position réduite et figure dans la barre des tâches - j'envoie un message et ton icône disparaît de Systray. - j'envoie des messages sans problème, je reçois des messages et récupère l'icône de notification d'OE (Systray lorsqu'il y a un message non lu). Tu as sans doute déjà repéré : j'utilise des "Identités" si bien que le titre de la barre est "nom de la boîte - Outlook Express - gM"... 'gM' étant le nom de l'identité ! Les identités sont utilisées lorsqu'il y a plusieurs messageries gérées comme par exemple : - ma messagerie perso et la messagerie d'une association - ma messagerie et la messagerie d'un de mes enfants lorsqu'il n'y a pas de profil (même ID Windows) Peux-tu faire quelque chose pour moi ? rechercher la chaîne "Outlook Express" dans le titre ? ou " - Outlook Express - " ? ou ne prendre en compte que la partie du titre avant le dernier 'EspaceTiretEspace' ?

Bonjour Letivin, Bucaneer, jeanbi, bonjour à tous, Letivin, as-tu résolu ton problème ? si non, tente une restauration de la base de registres en démarrant en mode Dos (le doigt sur Ctrl lorsque l'ordinateur démarre -compte 1, 2, 3!-) A l'invite du Dos, tu tapes SCANREG /RESTORE et tu choisis une date antérieure à celle de ton problème (attention, les programmes installés après cette date te poseront des problèmes : OK disque dur mais pas dans la base de registres) >et aprés je n'emmerde plus personne >promis c'est ma dernière question Je n'ai jamais vu personne de mangé... tu peux poser tes questions...

Bonjour steve pops, tesgaz, grobb, bonjour à tous, Mis à part le problème de vitesse... Sur le plan technique, les connecteurs bi-directionnels ne peuvent fonctionner d'égal à égal que si on croise certains fils (au moins Emission et Réception) car sinon, avec un cable droit, le pin SND enverra sur le pin SND au lieu de RCV (puisque le cable est droit). Pour croiser, on utilise : - un cable spécial qui s'appellera (d'après le nom donné lors de la création) "null modem" dans le cas des cables série, "croisé" ou "crossover" dans le cas des cables Ethernet, etc. Il n'y a pas, à ma connaissance, de cable croisé USB. ou - un dispositif intermédiaire comme un switch/hub ou le boitier USB dont parle grobb qui assure le croisement Il existe des "adaptateurs" (pour réaliser le croisement en utilisant un cable droit) dans le cas des cables série mais c'est quand même rare... déjà que relier 2 ordis par un cable série est rare... il s'agit d'un dispositif d'environ 4-5 cm ressemblant à un adaptateur 9/25 -couleur beige classique-. Dans le cas d'une liaison ordinateur-imprimante, la liaison n'est pas "égal à égal" et l'imprimante renvoie ses infos sur un fil spécial (dans la liaison Centronics, il y a la place... 25 fils)

Bonsoir dduduche, Nisroch, bonsoir à tous, Cette option n'est pas dans ME ??? à part Win3.x et les premières versions de 95, elle est dans tous les OS qui me sont passés dans les mains (jamais touché à ME )!

Bonsoir Gen, bonsoir à tous, J'ai été assez longtemps éloigné de Zeb... et je découvre cette discussion ! C'est super Gen ! merci beaucoup ! Moi qui m'apprêtais à proposer un petit fichier .bat (de 80 Ko quand même et avec encore 50 Ko à côté), je me sens bien léger ! Bonne nuit !

Bonsoir Leo., Sinus, bonsoir à tous, Quel était le nom de ton virus ?

Bonjour Gen, Olivier, bonjour à tous, Gen, une fois de plus, ta réponse est précieuse et je t'en remercie vivement ! Le but premier du batch est d'analyser les informations qui sont dans des fichiers textes issus de différents ensembles de données (MSinfo, DrWatson, etc.). Ce sur quoi je butte est la partie amont : la création des fichiers textes. Je voudrais trouver des lignes de commande pour créer les fichiers textes en amont de l'analyse. A défaut de ligne de commande, l'opération d'exportation sera faite sous Windows... Les informations sont recherchées pour Ws98 mais les autres OS m'intéressent aussi (W2K, XP). OK, merci ! je vais faire différents essais pour essayer de trouver une commande valable sous Windows 98. Merci pour toutes les précisions que tu me donnes là! S'il n'y a rien avec XP... je peux toujours "me brosser" pour Ws98 ! Là aussi, les informations que tu me donnes sont précieuses ! Merci Gen, c'est super ! tu me permets d'avancer ! Merci, Bonne journée !

Bonjour Olivier, Gen, bonjour à tous, Olivier, un grand merci pour ta réponse ! Ma question était bien longue et peu claire, excuse moi ! OK pour ton exemple de FIND... c'est en effet LA fonction que j'utilise beaucoup dans le batch ! FIND a besoin d'un fichier texte en entrée... mon problème est ce fichier d'entrée de Find c'est à dire <chemin\fichier d'info> Le fichier .BAT s'occupe de filtrer les informations (FIND) et ma question est relative aux fichiers dans lesquels le FIND va chercher, à savoir les données de MSinfo32, DFrWatson, Device Manager, etc. Merci, Bonne journée,

Bonjour à tous, Je pense que voila un sujet inhabituel qui va intéresser les grosses pointures de Zeb! Merci à tous de m'aider ! Je suis en train de créer un programme Batch (je le diffuserai d'ici une semaine environ) qui "analyse" les fichiers textes correspondant à différents ensembles de données de Windows (a priori Ws98 mais le batch sera utilisable également par W2K et XP -et aussi par Ws95 si possible-). Je voudrais, si possible, créer ces fichiers texte depuis le .bat c'est dire que je recherche des exportations par ligne de commande du genre MSinfo32 /file:MSinfo.txt Je m'intéresse à : - MSinfo32 - Certes, on peut faire Fichier/Exporter... certes, 2000 et XP acceptent MSinfo32 /report MSinfo.txt Quelqu'un saurait-il comment faire la même chose (qu'avec W2K) sous Ws98 ? merci d'avance ! - DrWatson - Ce programme peut créer 2 sortes de fichiers avec "Enregistrer sous..." : "Fichier journal Dr Watson" et "Documents textes" ; les tailles sont 248 Ko pour le .wlg et 23 Ko pour le txt ! 2 questions : Les fichiers .wlg et .txt contiennent-ils les mêmes infos ? (bien sûr, je vais regarder... je pose la question au cas ou qqn se serait déjà intéressé au problème). Quelqu'un connaîtrait-il une ligne de commande pour créer un tel fichier texte ? - Gestionaire de périphériques - oui, je peux définir une imprimante de type FILE et cliquer sur le bouton "Imprimer"... 2 questions : Quel est l'exécutable pour le gestionnaire de Périphériques ? Y a-t'il des switches pour créer un fichier texte à partir d'une ligne de commande ? Merci à tous pour l'aide apportée ! J'ai encore deux questions Dans le fichier batch sous le Dos de Windows 98, j'utilise CHOICE pour interroger l'opérateur. Il apparaît que W2K n'a pas Choice ! y a-t'il un programme équivalent ? - j'ai essayé (très rapidement) la version 98 de Choice sous W2K mais j'ai l'impression d'avoir des ennuis avec les lettres (les options proposées à l'opérateur sont 0, 1, 2, 3... tout va bien jusqu'à 9, puis des lettres I, etc. et là, le programme ne réagit pas !) Comment résoudre mon problème ? - il y a un programme Choice.exe dans NT, est-il utilisable sous 2000 (je n'ai encore rien essayé) ? J'ai donc codé mon batch "en Dos" (je ne connais pas le langage de commandes de W2K mais je m'y intéresserai un peu plus tard car il m'a l'air très puissant !), au cours de quelques essais, j'ai eu l'impression que '&' dans un ECHO était interprété comme une sorte de commande "Execute"... je me trompe ? (il s'est affiché 'commande invalide' disparu après avoir remplacé par 'et'). Merci de m'avoir lu ! Merci à tous de me donner un coup de main ! Je vous parlerai de Reginfo.bat dans quelques jours !

Bonjour Mr PROPRE, Betov, Olivier, tesgaz, bonjour à tous, Betov, Delindex ne crée aucun fichier ni répertoire... au contraire, il supprime des fichiers et répertoires et, en particulier il supprime Temporary Internet Files ! et c'est au redémarrage que Windows recrée ses petits (à l'emplacement noté dans la base de Registres... voir la clé "System Folders"). Bonne soirée à tous,

Bonsoir patrice, tesgaz, bonsoir à tous, Comme tu es sous Ws98 : - Commandes MS-Dos est obtenu par : ---Démarrer/Programmes/Commandes MS-Dos ou ---Démarrer/Exécuter/tape Command et clique sur OK EXIT pour quitter le mode commande. Tu as aussi WinIPcfg par Démarrer/Exécuter/tape WinIPcfg

Bonsoir kabrisse, bonsoir à tous, -Crée un fichier texte (Notepad) : -Fait un copier-coller de ce qui suit (sans les ----- ; chez moi, il y a une ligne blanche au debut mais il n'y a pas de retour ligne à la fin): ----- [shell] Command=2 IconFile=explorer.exe,3 [Taskbar] Command=ToggleDesktop----- -Nomme ce fichier Bureau.scf -Déplace ce fichier dans la "barre de Lancement rapide" (c'est son nom) Greywolf, je suppose que la discussion dont tu donnes le lien indiquait la même chose... je suis désolé mais un clic aboutit à une erreur chez moi ! Bonne soirée à tous,

Bonjour à tous, Merci pour ce sujet ! Je connaissais Total Uninstal mais je ne l'avais jamais essayé... je vais le faire !

Bonsoir Fred ze monotrem, bonsoir à tous, Non Fred ze monotrem, personne ne rigole ! Je résume ce qui t'a été dit ci-dessus : - si message texte dans fenêtre-système grise -> NET SEND -> désactive l'affichage des messages - si popup alors que ta page de démarrage n'a pas été changée -> spyware -> Spybot - si ta page de démarrage du navigateur a été forcée -> troyen -> Spybot et si çà ne suffit pas, HIJackThis sur http://www.tomcoyote.org/hjt/ Un scan antivirus ne fera pas de mal (détecte aussi qq troyens) Par contre, installer un antipopup ne fait que masquer la présence d'un spyware/troyen et on ne sait pas ce qu'il sont capables de faire ceux là : keylogging, etc.