gandalf76fr Posté(e) le 12 août 2003 Partager Posté(e) le 12 août 2003 Pour info et apres plusieurs recherche, sur ce probleme qui surgit de plus en plus, j'ai décider de faire un scan de mon ordi. En fait il s'agit, d'un virus, qui provoque cette erreur. Il provoque aussi un ralentissement des connection quand le patch est mis, et un gros ralentissement sur les routeur ethernets, utilisant le nat. En gros le routeur est saturé de regles temporaires. Lien vers le commentaire Partager sur d’autres sites More sharing options...
cyph3r Posté(e) le 12 août 2003 Partager Posté(e) le 12 août 2003 ouais ça touche même win2k, c dingue, c vrai qu'en regle général jsuis pour une mobilisation quitte à ce que ça nous dérange un peu mais bon là ça nike no bécanes, et moi j'ai un second pb mais je sais pas si y'a un lien c le cas de le dire, depuis qqjours je n'arrive plus à faire de copier coller, que ce soit avec win2k et même winxp que j'ai réinstallé pour l'occaz, est ce que c du à rpc ??? Lien vers le commentaire Partager sur d’autres sites More sharing options...
gandalf76fr Posté(e) le 12 août 2003 Partager Posté(e) le 12 août 2003 pas a ma connaissance. pour info le virus se trouve dans un fichier nommé wbatch ou un truc dans le genre. Lien vers le commentaire Partager sur d’autres sites More sharing options...
cyph3r Posté(e) le 12 août 2003 Partager Posté(e) le 12 août 2003 bah moi le copier colle est revenu une fois que j'ai eu installé le patch, tin ça m'était jamais arriver de devoir patcher à cause d'une saloperie de ver ... Enfin bon comme on dit on apprend de ses erreurs, désormais je ferrais en sorte de maintenir à jour windows Lien vers le commentaire Partager sur d’autres sites More sharing options...
-=LoDtRiPe=- Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 ouhai C cool je voit tout le monde le chopé ce virus mais une kestion vient a moi...... comment tout le monde arrive a le chopper meme une personne ki li juste des mails avec un forfait 5h arrive a l avoir ....... Ce nest pas pas simplement notre cher billou ki s amuse non mais je serait intrigué de savoir comment il arrive sur les pc sans rien dl Lien vers le commentaire Partager sur d’autres sites More sharing options...
cyph3r Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 nan c pas un virus mais un ver, y'a une différence, un virus se sert souvent des la liste de tes correpondants dans outlook par ex pour se dupliquer tandis qu'un ver exploite une faille et se lance sur les serveurs, une fois qu'il est sur un serveur avec une grosse bande passante il va scanner le net à la rechercher d'autres ordinateurs possedant la faille, c pour ça que pour qu'un ver soit efficace la première diffusion doit se passer sur un serveur avec une grosse bande passante pour scanner plus vite qu'un pc chez un partculier Lien vers le commentaire Partager sur d’autres sites More sharing options...
-=LoDtRiPe=- Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 Mersi d eclaicir ma lanterne :+1: Lien vers le commentaire Partager sur d’autres sites More sharing options...
cyph3r Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 normal "Si tu ne sais pas: demande, si tu sais: partage !" :) Et puis fo dire que les rezos j'm bien ça :8 Lien vers le commentaire Partager sur d’autres sites More sharing options...
ty.botch Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 Ils viennent d en parler au info de 13h :8 Ca a foutu un sacrés bordel ce ver Lien vers le commentaire Partager sur d’autres sites More sharing options...
cyph3r Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 bah en plus il parait qu'il est programmé pour attaquer le serveur windowsupdate le 15/08 ... Mais perso là j'ai voulu faires mes maj et je n'arrive déjà plus à acceder à windows update Lien vers le commentaire Partager sur d’autres sites More sharing options...
Squall NTCK Posté(e) le 13 août 2003 Auteur Partager Posté(e) le 13 août 2003 OUi le probleme est qu'apparament les hacker cherche à modifier le worm pour le rendre plus mechant C pas bien ca Lien vers le commentaire Partager sur d’autres sites More sharing options...
gandalf76fr Posté(e) le 13 août 2003 Partager Posté(e) le 13 août 2003 Bah disons que le worms en lui meme ne me gene pas. Mais les plantage qu'il occasionne me genent beaucoup plus. En plus il a planter mon routeur que je n'arrive plus a demarrer :-( Lien vers le commentaire Partager sur d’autres sites More sharing options...
FiLoUs_64 Posté(e) le 14 août 2003 Partager Posté(e) le 14 août 2003 le nom du worm (ben le fichier) quil met dans l'ordinateur est msblast.exe.. Petit virus stupide.. avec un firewall aucun probleme. Il se transmet soit par le port 135,69 ou 4444 . J'ai fermer mon firewall 10 seconde je dirait, et bang je le pogne =).. hehe Lien vers le commentaire Partager sur d’autres sites More sharing options...
Will. Posté(e) le 14 août 2003 Partager Posté(e) le 14 août 2003 Comment corriger le ver Blaster/Lovsan ? MS03-026 : Une saturation de la mémoire tampon dans l'interface d'appel de procédure distante peut permettre l'exécution de code Il semble que le ver W32.Blaster.Worm (connu également sous les noms W32/Lovsan.worm [McAfee], Win32.Poza [Computer Associates], Lovsan [F-Secure], WORM_MSBLAST.A [Trend Micro], W32/Blaster-A [sophos], W32/Blaster [Panda]) se propage très rapidement. Des entreprises et/ou utilisateurs individuels, n'ayant pas appliqué ce correctif, sont actuellement touchés. Ce ver exploite la faille de sécurité corrigée par le correctif MS03-026 le 25 Juillet 2003. Les objectifs de ce ver sont : • Saturer le site Microsoft Windows Update pour interdire le téléchargement des correctifs. • Saturer le réseau d'entreprise en se propageant • Perturber le fonctionnement des postes (reboot, crash…). • Ouvrir une faille de sécurité sur le poste contaminé. Le principal symptôme de ce ver est le redémarrage intempestif de la machine. Une boîte de dialogue informe qu'une erreur du RPC s'est produite et que le système va redémarrer. Ce document propose une solution en deux étapes : • Etape 1 : Rétablissement de l'accès à la machine Permet de rétablir temporairement un accès machine afin d'exécuter le mode correction • Etape 2 : Mode correction Permet d'exécuter toutes les opérations nécessaires visant la protection définitive. Etape I - Rétablissement de l'accès à la machine (temporaire) AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil. Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedt32.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence. 1. Démarrer en mode sans échec (cela évite de charger le ver) Note : Pour utiliser une option de démarrage sans échec, procédez comme suit • Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche. • Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRÉE. • Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRÉE. Plus d'informations sur : • Description du mode sans échec dans Windows 2000 http://support.microsoft.com/?id=202485 • Description du mode sans échec dans Windows XP http://support.microsoft.com/?id=315222 2. Rechercher et supprimer le fichier msblast.exe sur le disque dur incluant les fichiers cachés et système. Celui-ci peut se trouver dans les répertoires WindowsSystem32 et WindowsPrefetch Note : Pour afficher les fichiers cachés • lancer la fenêtre Rechercher • aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis, • cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers Pour lancer la recherche : Sous Windows XP • Cliquer sur Démarrer et puis Rechercher. • Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite cliquer sur "Options Avancées" • Cocher les 3 cases si elles ne sont pas cochés : "Rechercher dans les dossiers systèmes" "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher dans les sous-dossiers" • Taper "msblast.exe" comme nom de fichier. • Appuyer sur le bouton Rechercher Sous Windows 2000 • Cliquer sur Démarrer et puis Rechercher. • Sélectionner l'option "Des fichiers ou des dossiers" • Taper "msblast.exe" comme nom de fichier. • Appuyer sur le bouton Rechercher 3. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe) 4. Suivre l'arborescence : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 5. Supprimer la valeur "windows auto update"="msblast.exe"' 6. Arrêter le poste Etape II - Correction Cette étape comprend trois actions : • Protection de votre système • Installation du correctif MS03-026 • Elimination du ver. Protection de votre système 1. Débrancher le modem ou le câble réseau Windows XP ou Windows 2003 - Activation du pare-feu 2. Démarrer en mode normal 3. Démarrer le Pare-feu sur la connexion Internet (Important : si on ne le fait pas, le poste peut être contaminé à nouveau dans la minute) Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion: a. Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau. b. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés. c. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau. d. Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet. 4. Rebrancher le modem ou le câble réseau et redémarrer le poste Windows NT 4 ou Windows 2000 - Désactivation de DCOM 2. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe) 3. Dans l'arborescence : HKEY_LOCAL_MACHIINESOFTWAREMicrosoftOle modifier la valeur de la clé EnableDCOM à " N " Note : La valeur devra être mise à " Y " une fois que la machine sera libre du ver. 4. Rebrancher le modem ou le câble réseau et redémarrer le poste Installation du correctif MS03-26 1. Appliquer le correctif de sécurité MS03-026 (Patch en version française) disponible à l'adresse : • Pour Windows XP http://microsoft.com/downloads/details.asp...32-3DE40F69C074 • Pour Windows XPPRO et XP HOME 32 bits FR : http://download.microsoft.com/download/d/7...980-x86-FRA.exe • WIN2K PRO : http://download.microsoft.com/download/d/9...980-x86-FRA.exe • Pour Windows 2000 http://microsoft.com/downloads/details.asp...&displaylang=fr • Pour Windows NT 4.0 Server http://microsoft.com/downloads/details.asp...&displaylang=fr • Pour Windows NT 4.0 Server, Edition Terminal Server http://microsoft.com/downloads/details.asp...&displaylang=fr Pour plus d'informations et pour la version de Windows 2003, veuillez consulter la fiche technique ci-dessous: MS03-026: Une saturation de la mémoire tampon dans l'interface d'appel de procédure distante peut permettre l'exécution de code http://support.microsoft.com/?id=823980 Elimination du ver 1. Pour éliminer le ver, passer l'outil de suppression de Symantec disponible sur http://securityresponse.symantec.com/avcen...er/FixBlast.exe 2. Mettre à jour son antivirus avec la dernière signature et scanner son poste Outils tiers : Des outils d'élimination du ver sont disponibles auprès des éditeurs d'antivirus. Vous en trouverez ci-dessous une liste non exhaustive : • Symantec : http://www.symantec.fr/techsupp/ssi/virus_...aster_worm.html • Computer Associate : http://www3.ca.com/solutions/collateral.as...27081&CID=48952 • McAfee : http://us.mcafee.com/virusInfo/default.asp?id=lovsan • Trend Micro : http://www.trendmicro.com/vinfo/virusencyc...=WORM_MSBLAST.A • F-Secure : http://www.f-secure.com/v-descs/msblast.shtml Les coordonnées des Outils tiers mentionnés dans ce document vous aideront à obtenir le support technique dont vous avez besoin. Ces informations peuvent faire l'objet de modifications sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces. Les produits tiers mentionnés dans cet article proviennent de fournisseurs indépendants de Microsoft ; nous n'accordons aucune garantie, implicite ou autre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits. Informations complémentaires : Si au cours de vos manipulations, une fenêtre indiquant la fermeture de Windows dans quelques secondes apparaît, il est possible d'annuler cette opération de la manière suivante : sélectionnez Démarrer / Exécuter puis tapez " shutdown -a ". Cette opération n'est valable que sur un système Windows XP. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.