Un virus m'ouvrant des tonnes de pages internet...

[Leo.]

 

 

Depuis hier j'ai un virus que je sais vraiment pas où je l'ai chopé (ça faisait si longtemps que j'en avais pas eu !!! ) qui est vraiment très embêtant (pour pas dire autre chose )...

Il m'ouvre des tas de pages IE, j'ai beau arriver à toutes les supprimer au final c'est toujours lui qui gagne, et ça continue encore et encore : le plus drôle c'est que parfois ça ne fait rien et que parfois je ne sais pas pourquoi ça le fait.

 

Si vous avez un lien qui donne un patch à télécharger ou le nom du fichier en question pour que je lui fasse sa fête, je vous en serais très très très reconnaissant...

 

D'avance merci, et bonne soirée.

 

(j'ai cherché sans résultat )

[Sinus]

http://www.secuser.com/antivirus

 

pas la peine d'ouvrir une nouvelle page de ton navigateur

[Leo.]

merci Sinus ça m'a viré un virus, j'espère que c'était le bon !!!

( --> favoris !

[ipl_001]

Bonsoir Leo., Sinus, bonsoir à tous,

 

Quel était le nom de ton virus ?

[pitbac23]

alors moi ca m'est arriver ya pas longtemps et c'etais un BLAZER5 sur le port 5000 TCP

 

il faut aussi savoir que par default le port 135 de ta connexion est ouvert et beaucoup de spyware utilise ce port pour introduire des PUB!!!!!!

 

une procedure donne par TESGAZS donnait l'info pour fermer le port une ptite recherche

 

pour fermer le port 135

 

Par défaut, le portmapper RPC se met en écoute sur toutes les interfaces réseau.

 

Une valeur de la base de registre, "ListenOnInternet" permet de paramétrer si le

portmapper RPC se met en écoute sur toutes les interfaces ou non. Par défaut,

cette valeur n'existe pas et a une valeur implicite de "Y":

Création de la clé :

Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\

Valeur : ListenOnInternet

Type: REG_SZ

Contenu : "Y" ou "N"

 

Lorsque ListenOnInternet contient "N", le port TCP 135 devient en écoute

uniquement sur les interfaces dont les index apparaissent dans la valeur Bind

.Le port 135 est ouvert par le service Remote Procedure Call (RpcSS) et il n'est pas possible de

le désactiver car il contient notamment le gestionnaire de services COM, utilisé

par les processus locaux du système.

 

Le port TCP 135 reste ouvert car il est utilisé pour recevoir les requêtes

d'activation à distance d'objets COM. Il existe un réglage global dans la base

de registres, permettant de désactiver DCOM :

Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

Valeur : EnableDCOM

Type: REG_SZ

Contenu : "Y" (pour activer) ou "N" (pour désactiver)

 

Lorsque DCOM est désactivé, l'infrastructure COM retourne le code d'erreur

E_ACCESSDENIED (0x80700005) lorsqu'il recoit des demandes distantes

d'activation. Par conséquent, l'exploitation des vulnérabilités sus-citées

n'aboutissent pas.

 

Désactiver DCOM ne ferme pas le port TCP 135. Pour le fermer, une

solution est de supprimer les séquences de protocoles RPC sur lesquels

DCOM ne doit plus être accessible. Dans notre cas, il suffit de désactiver la

séquence ncacn_ip_tcp, qui correspond au transport sur TCP/IP.

 

Sous Windows 2000, dcomcnfg affiche directement les propriétés DCOM du système

local et en particulier, l'onglet 'Default Protocols'. Sous Windows XP, dcomcnfg

lance une console MMC présentant trois noeuds. L'onglet 'Default Protocols'

apparaît dans les propriétés du noeud My Computer, sous le noeud Computer.

 

La liste présentée dans l'onglet 'Default Protocols' est stockée dans la valeur

de la base de registres suivante :

Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc

Valeur : DCOM Protocols

Type : REG_MULTI_SZ

Données : ncacn_ip_tcp

Il est donc également possible d'éditer directement la base de registres et de

supprimer ncacn_ip_tcp de la valeur DCOM Protocols.

 

voila, vous pouvez maintenant faire un test avec une invite de commande:

 

tapez : netstat -ano pour XP / ou neststat -an pour 2000

le port 135 n'apparait plus

 

voila pour 135

 

Desactive aussi le tcp netbios dans les propriete de ta connexion

 

aussinon anitrojan 5.5

[Gen]

Pit' t'as oublié de préciser que pour fermer le port TCP 5000 il faut désactiver le Service de découverte SSDP ...

[pitbac23]

petit oublie de ma part

 

si tu as des fenetre qui s'ouvre te disant que tu dois optimiser ton system

te disant qu'il y a un virus cherche pas j'ai eu le meme probleme

 

fais la manip ci dessus

[Y@kuz@]

pour la faille PnP ( port 5000), un utilitaire qui le désactive => http://ntao.free.fr/UnPnP.exe.

 

Zone Alarm ferme le 139 et 135 normalement si tu y arrives pas

Modifié le 10 septembre 2003 par Y@kuz@

[Pwalodwa]

http://www.secuser.com/antivirus

 

pas la peine d'ouvrir une nouvelle page de ton navigateur

Pour les fans de Secuser, un petit test réalisé à l'instant (image 40Ko):

 

 

Comme on peut le voir, Secuser ne trouve rien, pourtant AVP resté en mode scan en arrière plan détecte le "virus" au moment ou Secuser le scan!

Très fort Secuser, là je dis chapeau bas (pour info il s'agit du pseudo virus Eicar.com alias X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* qui sert en principe à tester les antivirus)

[Sinus]

c'est certainnement parce que secuser sait que ce n'est pas un vrai virus, ça prouve rien ta copie d'écran.

 

En tout cas je l'ai testé et pc-cillin le détecte dès que je l'ai enregistré sur le disque.

Modifié le 10 septembre 2003 par Sinus