Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

virus


mo;mo

Messages recommandés

slt tt le monde,

 

Depuis cet am, g un message ki apparait a l'ecran "autorite system....votre ordi redemerera dans 40 secondes". G vu sur un forum que ca pouvai etre une variante de blaster "pinfi" (pendant ce message, ouvrir une fenetre dos et taper : shutdown -a et le message disparait et l ordi ne reboot pas) mais quand je lance antivir ou le fix blaster, le programme s'arrete et l'icone disparait du bureau.....;(

Komment je peux faire pour enlever ce virus et guerir mon pc, si je peux pa utiliser les softs ki vont bien......

...il faut pt modifier la base??,

 

meci de vos reponses.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir mo;mo, bonsoir à tous,

 

Voici une méthode pour débusquer les éléments infectés -> http://gerard.melone.free.fr/IT/IT-AV0.html

 

Voici une discussion sur Blaster -> http://forum.zebulon.fr/index.php?showtopic=32146

 

Bonne chance !

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir mo;mo, bonsoir à tous,

 

Voici un Compte Rendu que je retrouve sur mon disque :

Blaster sur Windows XP Edition familiale

----------------------------------------

 

 

 

Démarrer/Exécuter/taper Shutdown -a puis cliquer sur OK

Ceci empêche simplement le redémarrage du système Windows XP programmé pour 60 secondes plus tard et laisse ainsi le temps de réparer convenablement.

 

Petites remarques à ce sujet :

- le coup du redémarrage toutes les 60 sec. est spécifique à XP

- Blaster accroît ses dégats de jour en jour, je veux dire que Blaster pris à ses débuts n'est pas très méchant ! laissé une quinzaine de jours :

--- NAV sera inopérant, ZA (et autres Firewall) sera inopérant,

--- vous ne pourrez plus copier de fichier d'une disquette vers le disque infecté,

--- vous ne pourrez plus lancer de programme depuis le disque

--- vous n'aurez plus accès à la corbeille

--- taper qqc sera affiché au rythme d'une lettre toutes les 3 secondes

--- etc.

- Blaster se comporte différemment sur les autres systèmes (W2K en l'occurrence)

- Nachi se comporte différemment aussi

 

Démarrer/Exécuter/taper services.msc puis cliquer sur OK

Dans la fenêtre Services, double cliquer sur "Appel de procédure distante (RPC)"/onglet Récupération/mettre "Première défaillance", "Deuxième défaillance" et "Défaillances suivantes" sur "Redémarrer le service"/Appliquer/OK

Ceci est équivalent au shutdown -a ; çà met un pansement !

Si l'infection est avancée, vous ne pourrez pas d-cliquer sur Appel de procédure distante !

 

Il faut encore éliminer le virus !

 

Passer l'antidote de Symantec que vous pourrez récupérer sur http://www.secuser.com/recherche/ etc.

Attention de ne pas confondre avec Welchi (alias Nachi, alias Lovesan et autres)

Là encore, une affection avancée et l'antidote dira que Blaster n'a pas été trouvé !

 

Si l'antidote ne fonctionne pas, il faudra désinfecter à la main en allant simplement :

- supprimer C:\WinNT\System32\Wins\SVChost.exe

- aller également tuer un fichier .exe dans un des dossiers démarrage (penser également à All Users)... nom qui varie et comporte de 3 à 4 lettres (le dernier que j'ai vu était WCU.exe)

- Attention, rechercher aussi C:\WinNT\System32\MBlast.exe dans le cas de Blaster.A ; penis32.exe (7200 octets) pour Blaster.B ; Teekids.exe (5360 octets) pour Blaster.C ; mspatch.exe (11776 octets) pour Blaster.D ; mslaugh.exe (6176 octets) pour Blaster.E ; enbiei.exe (11808 octets) pour Blaster.F

D'une manière générale, s'intéresser aux fichiers récents des répertoires WinNT, WinNT\System32

- supprimer 2 DLL avec une date correspondant à celle des fichiers exe repérés, situées dans C:\WinNT\System32

- aller aussi passer les services en revue... j'ai oublié les noms mais il parait qu'il y aurait 2 services en plus... je ne les ai jamais vus !

Ouf, voila pour le nettoyage manuel !

 

Une fois le virus éliminé, il faut encore éliminer cette fichu vulnérabilité en passant le patch 823980 de MicroSoft !

 

Pour les responsables Sécurité, il y a un utilitaire de Microsoft capable des scanner tous les ordis connectés sur le réseau pour afficher les Vulnérabilités !

 

Soit dit en passant, c'est bien Symantec (éditeur de Norton AntiVirus) qui est le champion des Antidotes... aucun autre éditeur ne l'égale !

--------------------

 

Je voudrais ajouter quelques mots à mes longs posts de manière à être complet sur le sujet de l'infection d'XP par Blaster.

L'infection d'XP par Blaster est assez impressionnante avec l'ordi qui redémarre sans cesse et le stress fait qu'on n'a plus l'esprit bien clair pour partir à la pêche aux infos et utilitaires, alors, voici !

 

-Infos sur Blaster : http://www.secuser.com/alertes/2003/lovsan.htm

(avec des liens qui envoient vers l'antidote et le patch de MS)

-Antidote FixBlast.exe de Symantec ( http://www.secuser.com/telechargement/index.htm#Lovsan ) qui envoie vers Symantec -> http://securityresponse.symantec.com/avcenter/FixBlast.exe

- Page de Microsoft http://www.microsoft.com/technet/treeview/...in/MS03-026.asp fournissant :

--- Liens vers le correctif de Microsoft pour tous les OS concernés

--- explications détaillées sur la vulnérabilité.

 

Surtout ne pas oublier que l'élimination du virus par l'Antidote (ou autre moyen) doit être suivie du passage du patch de sécurité de Microsoft !

--------------------

Lien vers le commentaire
Partager sur d’autres sites

Bsr ipl,

 

merci pour ta reponse rapide,

 

supprimer C:\WinNT\System32\Wins\SVChost.exe

- aller également tuer un fichier .exe dans un des dossiers démarrage (penser également à All Users)... nom qui varie et comporte de 3 à 4 lettres (le dernier que j'ai vu était WCU.exe)

- Attention, rechercher aussi C:\WinNT\System32\MBlast.exe dans le cas de Blaster.A ; penis32.exe (7200 octets) pour Blaster.B ; Teekids.exe (5360 octets) pour Blaster.C ; mspatch.exe (11776 octets) pour Blaster.D ; mslaugh.exe (6176 octets) pour Blaster.E ; enbiei.exe (11808 octets) pour Blaster.F

D'une manière générale, s'intéresser aux fichiers récents des répertoires WinNT, WinNT\System32

- supprimer 2 DLL avec une date correspondant à celle des fichiers exe repérés, situées dans C:\WinNT\System32

- aller aussi passer les services en revue... j'ai oublié les noms mais il parait qu'il y aurait 2 services en plus... je ne les ai jamais vus !

Ouf, voila pour le nettoyage manuel !

 

Une fois le virus éliminé, il faut encore éliminer cette fichu vulnérabilité en passant le patch 823980 de MicroSoft !

 

Pour les responsables Sécurité, il y a un utilitaire de Microsoft capable des scanner tous les ordis connectés sur le réseau pour afficher les Vulnérabilités !

 

Soit dit en passant, c'est bien Symantec (éditeur de Norton AntiVirus) qui est le champion des Antidotes... aucun autre éditeur ne l'égale ! 

 

 

--------------------

 

je ne trouve rien de tout cela sur mon pc, je n'ai pas SVChost.exe, ni les autres dans C:/WINDOWS/System32.....

le fix de Symantec s'arrete tout seul au bout de qqes secondes..........

 

Si tu as des idées......

Lien vers le commentaire
Partager sur d’autres sites

Bonjour mo;mo, bonjour à tous,

 

Et un nettoyage à la main ?

... Voici une méthode pour débusquer les éléments infectés -> http://gerard.melone.free.fr/IT/IT-AV0.html...
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...