problème après formatage

[papo]

Bonsoir,

l'antivirus s'affole

Que se passe-t-il exactement ?

 

Je te joins de plus amples infos de MS sur les vers Blasters et la manière de les circonscrire :

Pour détecter la présence de ce virus, recherchez un fichier nommé Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32 ou téléchargez la signature de logiciel antivirus la plus récente à partir du site Web de votre fournisseur de logiciel antivirus, puis analysez votre ordinateur.

 

Pour rechercher ces fichiers 1. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.

2. À l'invite de commandes, tapez dir %systemroot%\system32\nom_fichier.ext /a /s, puis appuyez sur ENTRÉE, où nom_fichier.ext est Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll.

 

Remarque Répétez l'étape 2 pour chacun des noms de fichiers suivants : Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll et Yuetyutr.dll. Si vous trouvez un ou plusieurs de ces fichiers, votre ordinateur est peut-être infecté par le ver. Si vous trouvez l'un de ces fichiers, supprimez-le, puis appliquez la procédure décrite dans la section « Récupération » de cet article. Pour supprimer le fichier, tapez del %systemroot%\system32\nom_fichier.ext /a à l'invite de commandes, puis appuyez sur ENTRÉE.

 

Récupération

Les méthodes conseillées en matière de sécurité suggèrent d'effectuer une nouvelle installation complète sur un ordinateur compromis afin de supprimer toute faille non découverte risquant de compromettre l'ordinateur dans l'avenir. Pour plus d'informations, reportez-vous au site Web de Cert Advisory à l'adresse suivante :

http://www.cert.org/tech_tips/win-UNIX-sys...compromise.html (http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

Toutefois, de nombreux fournisseurs de produits antivirus ont écrit des outils qui permettent de supprimer les failles connues associées à ce ver spécifique. Pour télécharger l'outil de suppression à partir du site Web de votre fournisseur de logiciels antivirus, appliquez les procédures suivantes en fonction de votre système d'exploitation.

Récupération pour Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Enterprise Edition

1. Activez le Pare-feu de connexion Internet dans Windows XP, Windows Server 2003, Standard Edition, and Windows Server 2003, Enterprise Edition ou utilisez le pare-feu de base, Microsoft Internet Security and Acceleration (ISA) Server 2000 ou un pare-feu tiers.

 

Pour activer le Pare-feu de connexion Internet, procédez comme suit : a. Cliquez sur Démarrer, puis sur Panneau de configuration.

b. Dans le Panneau de configuration, double-cliquez sur Connexions réseau et Internet, puis cliquez sur Connexions réseau.

c. Cliquez avec le bouton droit sur la connexion pour laquelle vous souhaitez activer le Pare-feu de connexion Internet, puis cliquez sur Propriétés.

d. Cliquez sur l'onglet Avancé, puis activez la case à cocher Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet.

Remarques• Si votre ordinateur s'arrête ou redémarre de manière répétée lorsque vous essayez d'appliquer cette procédure, déconnectez-le d'Internet avant d'activer votre pare-feu. Si vous vous connectez à Internet par le biais d'une connexion haut débit, recherchez le câble qui part de votre modem câble ou modem DSL externe, puis débranchez ce câble au niveau du modem ou de la prise téléphonique. Si vous utilisez une connexion d'accès à distance, recherchez le câble téléphonique qui va du modem interne de votre ordinateur à votre prise téléphonique, puis débranchez ce câble au niveau de la prise téléphonique ou de votre ordinateur. Si vous ne parvenez pas à vous déconnecter d'Internet, tapez la ligne suivante à l'invite de commandes pour configurer RPCSS de façon à ne pas redémarrer votre ordinateur lors de l'échec du service :

sc failure rpcss reset= 0 actions= restart

Pour restaurer le paramètre de récupération par défaut de RPCSS après avoir appliqué cette procédure, tapez la ligne suivante à l'invite de commandes :

sc failure rpcss reset= 0 actions= reboot/60000

• Si vous possédez plusieurs ordinateurs partageant une connexion Internet, utilisez un pare-feu uniquement sur l'ordinateur connecté directement à Internet. N'utilisez pas de pare-feu sur les autres ordinateurs qui partagent la connexion Internet. Si vous exécutez Windows XP, utilisez l'Assistant Configuration du réseau pour activer le Pare-feu de connexion Internet.

• L'utilisation d'un pare-feu ne devrait pas affecter votre service de messagerie électronique ni la navigation sur Internet, mais un pare-feu peut désactiver certains logiciels, services ou fonctionnalités Internet. En cas de problème, vous devrez peut-être ouvrir certains ports sur votre pare-feu afin d'autoriser l'exécution de ces fonctionnalités Internet. Pour déterminer les ports à ouvrir, consultez la documentation fournie avec le service Internet qui ne fonctionne pas. Pour déterminer comment ouvrir ces ports, consultez la documentation fournie avec votre pare-feu. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

308127 (http://support.microsoft.com/kb/308127/) Comment faire pour ouvrir manuellement des ports dans le Pare-feu de connexion Internet de Windows XP

• Dans certains cas, vous pouvez appliquer les étapes suivantes pour activer le Pare-feu de connexion Internet pour une connexion qui n'apparaît pas dans le dossier Connexions réseau. Si ces étapes ne fonctionnent pas, contactez votre fournisseur de services Internet afin d'obtenir des informations sur la façon de protéger votre connexion à l'aide d'un pare-feu. a. Démarrez Internet Explorer.

b. Dans le menu Outils, cliquez sur Options Internet.

c. Cliquez sur l'onglet Connexions, cliquez sur la connexion d'accès à distance que vous utilisez pour vous connecter à Internet, puis cliquez sur Paramètres.

d. Dans la zone Options de numérotation, cliquez sur Propriétés.

e. Cliquez sur l'onglet Avancé, puis activez la case à cocher Protéger mon ordinateur et le réseau en limitant ou interdisant l'accès à cet ordinateur à partir d'Internet.

 

Pour plus d'informations sur la façon d'activer le Pare-feu de connexion Internet dans Windows XP ou Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

283673 (http://support.microsoft.com/kb/283673/) Comment faire pour activer ou désactiver la fonctionnalité Pare-feu de connexion Internet dans Windows XP

Remarque Le Pare-feu de connexion Internet est disponible uniquement dans Windows XP, Windows Server 2003, Standard Edition et Windows Server 2003, Enterprise Edition. Le pare-feu de base est un composant du service Routage et accès à distance que vous pouvez activer pour toute interface publique sur un ordinateur qui exécute à la fois le Routage et accès à distance et un système d'exploitation de la famille Windows Server 2003.

2. Téléchargez le correctif de sécurité 824146, puis installez-le sur tous vos ordinateurs afin de résoudre le problème de sécurité identifié dans les Bulletins de sécurité Microsoft MS03-026 et MS03-039. Pour télécharger le correctif de sécurité 824146, cliquez sur le lien approprié :

 

Windows XP Édition familiale, Windows XP Professionnel, Windows XP Édition Tablet PC et Windows XP Édition Media Center

http://download.microsoft.com/download/C/D...146-x86-ENU.exe (http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/windowsxp-kb824146-x86-enu.exe)

Windows XP Édition 64 bits Version 2002

http://download.microsoft.com/download/A/C...46-ia64-ENU.exe (http://download.microsoft.com/download/a/c/e/ace7fe00-4bf7-4421-8ccf-2913395500aa/windowsxp-kb824146-ia64-enu.exe)

Notez que le correctif de sécurité 824146 remplace le correctif de sécurité 823980. Microsoft recommande d'installer le correctif de sécurité 824146, qui contient également des correctifs pour les problèmes discutés dans le Bulletin de sécurité Microsoft MS03-026 (823980). Pour plus d'informations sur le correctif de sécurité 824146, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

824146 (http://support.microsoft.com/kb/824146/) MS03-039 : Une saturation de mémoire tampon dans le service RPCSS risque de permettre l'exécution de code

Pour plus d'informations sur le correctif de sécurité 823980, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

823980 (http://support.microsoft.com/kb/823980/) MS03-026 : Une saturation de la mémoire tampon dans l'interface RPC peut permettre l'exécution de code

3. Installez ou mettez à jour votre logiciel de signatures antivirus, puis effectuez une analyse complète du système.

4. Téléchargez et installez l'outil de suppression du ver fourni par votre fournisseur de logiciels antivirus.

 

Source :

http://support.microsoft.com/kb/826955/fr

[mady]

quand je branche le modem en ethernet, l'antivirus s'ouvre comme si quelque chose avait été trouvé, mais à ce moment le PC se bloque .

 

j'ai recherché Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll ou Yuetyutr.dll dans le dossier Windows\System32 comme indiqué : rien n'a été trouvé

[papo]

Salut,

Je pense que , maintenant, il serait sage de télécharger Hijackthis (v. téléchargements) et d'en proposer le rapport au forum "Sécurité":

http://forum.zebulon.fr/index.php?act=SF&s=&f=51