Résolu : generic sdbot W32/Sdbot.ftp.worm

[Lutino]

ah ben pile au moment ou tu rajoutais ton edit sur mes ports que je t'en parlais dans mon message...

 

donc voici ce que me repond le test je crains que ce ne soit pas bien terrible mais je ne trouve pas comment configurer le firewall de bitdefender 8

 

 

Ports TCP ouverts

135 N/A Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe

1025 N/A Port non standard

 

Ports TCP fermés

21 ftp Utilisé pour le transfert de fichier entre ordinateurs

22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée

23 telnet Utilisé pour obtenir un shell distant

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

79 finger Permet de connaître diverses informations relatives à votre profil

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port.

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger

1002 N/A Port non standard

1024 N/A Port réservé

1026 N/A Port non standard

1027 N/A Port non standard

1028 N/A Port non standard

1029 N/A Port non standard

1030 N/A Port non standard

1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting

5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau

 

Ports TCP masqués

Aucun port détecté

 

voili voilà comment faire pour fermer ces ports ( et faut il les fermer?)

[Thanos]

salut

 

Oui, il est très important de fermer ces ports ! C'est ce qu'on va faire en priorité avant de nettoyer! Sinon l'infection réapparaitra.Ne connaissant pas bien le paramétrage de Bitdefender,on va utiliser un petit logiciel très simple >

 

Zebprotect :

Téléchargement : http://telechargement.zebulon.fr/123-Zeb-Protect.html

comment l'utiliser : http://www.zebulon.fr/articles/zebprotect.php

 

Je vais essayer de trouver les infos pour Bitdefender 8 et sa configuration car il serait bon de masquer les ports. Note importante > pour fermer le port 135, il faut avoir fermé au préalable les autres ports. (tout est indiqué dans le tuto)

 

C'est très important et assez simple à faire : une fois que tu as fermé tes ports, refais le test de Zebulon : aucun port ouvert ne doit être détecté.

 

Après ca on se débarrasse des malwares (je regarde ton rapport entre temps) : courage, c'est simple et ca ne vaut pas le coup de formater

[Lutino]

slt charles i et encore merci de tes réponses

 

j'ai le port 139 toujours ouvert malgré zebprotect (pourtant 139 coché dans la liste)

est ce que ce ne serait pas obligatoire puisque ma boite est branché sur port ethernet?

 

Ports TCP ouverts

139 netbios-ssn Utilisé pour le partage de fichiers dans un réseau local

 

Ports TCP fermés

21 ftp Utilisé pour le transfert de fichier entre ordinateurs

22 ssh Le shell SSH permet de se connecter à un serveur de façon sécurisée

23 telnet Utilisé pour obtenir un shell distant

25 smtp Utilisé pour le transfert de courrier électronique entre deux hôtes. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

79 finger Permet de connaître diverses informations relatives à votre profil

80 http Utilisé pour les services Web. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port

110 pop3 Utilisé par les serveurs de messagerie Internet. Si vous n'utilisez pas de serveur de messagerie, il est conseillé de fermer ce port.

113 auth Utilisé par certains serveurs de messagerie ou de newsgroups (MiRC - Virc...). Des problèmes de performances peuvent survenir si ce port est masqué

119 nntp Utilisé par les serveurs de news pour la distribution d'articles Usenet

135 N/A Utilisé pour les applications client/server basées sur des systèmes d'exploitation Microsoft

143 imap Utilisé par les serveurs de messagerie Internet pour l'envoi de messages électroniques. Si vous n'utilisez pas de serveur IMAP, il est conseillé de fermer ce port.

389 ldap LDAP (Lightweight Directory Access Protocol) : utilisé pour accéder automatiquement à des services d'annuaires en ligne

443 https Utilisé pour sécuriser les communications HTTP. Si vous n'utilisez pas de serveur web, il est conseillé de fermer ce port. Ce port est également utilisé par AOL Instant Messenger

445 microsoft-ds Utilisé pour le partage des protocoles SMB. Son exploitation peut permettre d'obtenir vos mots de passe

1002 N/A Port non standard

1024 N/A Port réservé

1025 N/A Port non standard

1026 N/A Port non standard

1027 N/A Port non standard

1028 N/A Port non standard

1029 N/A Port non standard

1030 N/A Port non standard

1720 h323hostcall Port non standard. Peut être utilisé par NetMeeting

5000 N/A Utilisé pour communiquer avec tous les périphériques UpnP reliés à votre réseau

 

Ports TCP masqués

Aucun port détecté

Temps d'exécution du scan : 1.18 seconds

 

mais c'est déjà mieux semble t il...

[Lutino]

je me ballade un peu sur zebulon et j'ai d'un coup un gros doute:

 

je viens d'aller sur "mon assistant" et je tombe, dans l'onglet "messages", sur tous les topics que j'ai visité???

si c'est le cas y a un problème car il y a une foule de topics evoqués où je n'ai jamais mis les pieds... y aurait il un enorme brother qui se ballade à ma place???

 

bon autant pour moi je paranoïe à fond depuis que j'ai ces malwares: je viens de lire l'aide et j'ai compris ce qu'est que cet onglet messages dans l'assistant

 

desolé

Modifié le 10 avril 2007 par Lutino

[Thanos]

ok pour l'assistant

 

Oui c'est beaucoup mieux! en cours d'édition!! je reposte ici sous peu!

 

Redémarre ton pc et réessaie de cocher la case qui correspond au port 139 : ensuite refais le même scan et dis moi si c'est bon

Modifié le 10 avril 2007 par charles ingals

[Lutino]

oui j'avais pensé à un truc comme ça et ça fait trois fois que je redémarre en recochant le tout soit le port 139 soit tout le monde soit le port 135 mais toujours ce port 139 reste ouvert

 

je retente encore pour voir...

[Lutino]

ben naaann toujours 139 ouvert malgré tout...

[Thanos]

ok, on va faire autrement! tesgaz explique très simplement comment faire afin de fermer ce port.

Rend toi sur sa page > http://speedweb1.free.fr/frames2.php?page=securite1

Au paragraphe Fermer les ports "Critiques" > partie "Fermer les ports : "137. 138. 139", il indique comment faire.

A savoir "désactiver NetBios avec TCP/IP" depuis les options de ta carte réseau et désactiver le service "Assistance TCP/IP NetBios"

Tu verras c'est rapide et simple Après ca refais le test et normalement, le port sera fermé : dis moi ce qu'il en est qu'on attaque la désinfection

[Lutino]

yes ça y est merci msieur tesgaz et ingals ce port est à présent fermé

pret à continuer...

[Thanos]

ok ca marche! à présent je regarde tes rapports et te laisse une procédure qui devrait fonctionner

 

* Stp, fais analyser ce fichier en ligne >

 

massvc32.exe dans le dossier System32

Clique sur cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier massvc32.exe que tu trouveras en allant dans le dossier c:\winnt\system32

 

Tu cliques une fois sur le fichier massvc32.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Fais pareil avec C:\WINNT\system32\dp.exe

 

* Démarre WinPFind3U en double cliquant sur WinPFind3U.exe et copie/colle le texte ci dessous (ne copie pas le mot code) dans le Panneau Paste fix here , puis clique sur le bouton Run Fix.

[Win32 Services - Non-Microsoft Only]
YY -> (Event) Events Log [Win32_Own | Auto | Stopped] -> %System32%\drivers\csrss.exe
[Files/Folders - Created Within 90 days]
NY -> b48da1ca53575bea94a6b53607 -> %SystemDrive%\b48da1ca53575bea94a6b53607

 

Le Fix va se faire rapidement.

 

Poste le rapport qui se trouve dans le dossier WinPFind3u( c'est un rapport qui a pour nom la date du jour\mois\année\heure).

 

*Relance Service Filter et poste le rapport stp.

 

Pour info : est ce que tu as une carte graphique ou du matos de la marque cirrus ?

 

*Je vais aussi te demander un scan chez Panda : poste le rapport stp

Modifié le 10 avril 2007 par charles ingals