Aller au contenu

plantage RPC

Squall NTCK

Messages recommandés

gandalf76fr Apprenti

gandalf76fr

Posté(e)
Posté(e)

Pour info et apres plusieurs recherche, sur ce probleme qui surgit de plus en plus, j'ai décider de faire un scan de mon ordi.

En fait il s'agit, d'un virus, qui provoque cette erreur.

Il provoque aussi un ralentissement des connection quand le patch est mis, et un gros ralentissement sur les routeur ethernets, utilisant le nat.

En gros le routeur est saturé de regles temporaires.

Lien vers le commentaire
Partager sur d’autres sites
cyph3r Collaborateur

cyph3r

Posté(e)
Posté(e)

ouais ça touche même win2k, c dingue, c vrai qu'en regle général jsuis pour une mobilisation quitte à ce que ça nous dérange un peu mais bon là ça nike no bécanes, et moi j'ai un second pb mais je sais pas si y'a un lien c le cas de le dire, depuis qqjours je n'arrive plus à faire de copier coller, que ce soit avec win2k et même winxp que j'ai réinstallé pour l'occaz, est ce que c du à rpc ???

Lien vers le commentaire
Partager sur d’autres sites
cyph3r Collaborateur

cyph3r

Posté(e)
Posté(e)

bah moi le copier colle est revenu une fois que j'ai eu installé le patch, tin ça m'était jamais arriver de devoir patcher à cause d'une saloperie de ver ...

Enfin bon comme on dit on apprend de ses erreurs, désormais je ferrais en sorte de maintenir à jour windows :eeek2:

Lien vers le commentaire
Partager sur d’autres sites
-=LoDtRiPe=- Apprenti

-=LoDtRiPe=-

Posté(e)
Posté(e)

ouhai C cool je voit tout le monde le chopé ce virus mais une kestion vient a moi......

comment tout le monde arrive a le chopper

meme une personne ki li juste des mails avec un forfait 5h arrive a l avoir .......

Ce nest pas pas simplement notre cher billou ki s amuse :francais:

non mais je serait intrigué de savoir comment il arrive sur les pc sans rien dl

Lien vers le commentaire
Partager sur d’autres sites
cyph3r Collaborateur

cyph3r

Posté(e)
Posté(e)

nan c pas un virus mais un ver, y'a une différence, un virus se sert souvent des la liste de tes correpondants dans outlook par ex pour se dupliquer tandis qu'un ver exploite une faille et se lance sur les serveurs, une fois qu'il est sur un serveur avec une grosse bande passante il va scanner le net à la rechercher d'autres ordinateurs possedant la faille, c pour ça que pour qu'un ver soit efficace la première diffusion doit se passer sur un serveur avec une grosse bande passante pour scanner plus vite qu'un pc chez un partculier :francais:

Lien vers le commentaire
Partager sur d’autres sites
Will. Compétent

Will.

Posté(e)
Posté(e)

Comment corriger le ver Blaster/Lovsan ?

MS03-026 : Une saturation de la mémoire tampon dans l'interface d'appel de procédure distante peut permettre l'exécution de code

Il semble que le ver W32.Blaster.Worm (connu également sous les noms W32/Lovsan.worm [McAfee], Win32.Poza [Computer Associates], Lovsan [F-Secure], WORM_MSBLAST.A [Trend Micro], W32/Blaster-A [sophos], W32/Blaster [Panda]) se propage très rapidement. Des entreprises et/ou utilisateurs individuels, n'ayant pas appliqué ce correctif, sont actuellement touchés.

Ce ver exploite la faille de sécurité corrigée par le correctif MS03-026 le 25 Juillet 2003.

Les objectifs de ce ver sont :

• Saturer le site Microsoft Windows Update pour interdire le téléchargement des correctifs.

• Saturer le réseau d'entreprise en se propageant

• Perturber le fonctionnement des postes (reboot, crash…).

• Ouvrir une faille de sécurité sur le poste contaminé.

Le principal symptôme de ce ver est le redémarrage intempestif de la machine. Une boîte de dialogue informe qu'une erreur du RPC s'est produite et que le système va redémarrer.

Ce document propose une solution en deux étapes :

Etape 1 : Rétablissement de l'accès à la machine

Permet de rétablir temporairement un accès machine afin d'exécuter le mode correction

Etape 2 : Mode correction

Permet d'exécuter toutes les opérations nécessaires visant la protection définitive.

Etape I - Rétablissement de l'accès à la machine (temporaire)

AVERTISSEMENT : une utilisation incorrecte de l'éditeur du Registre peut générer des problèmes graves, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour plus d'informations sur la procédure de modification du Registre, consultez la rubrique d'aide "Modifier les clés et les valeurs" dans l'éditeur du Registre (Regedit.exe) ou les rubriques d'aide "Ajouter et supprimer des informations dans le Registre" et "Modifier les données du Registre" dans Regedt32.exe. Pensez à sauvegarder le Registre avant de le modifier. Si vous travaillez sous Windows NT, Windows 2000, Windows XP et Windows 2003, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence.

1. Démarrer en mode sans échec (cela évite de charger le ver)

Note : Pour utiliser une option de démarrage sans échec, procédez comme suit

• Redémarrez votre ordinateur et commencez à appuyer sur la touche F8 de votre clavier. Sur un ordinateur configuré pour démarrer sous plusieurs systèmes d'exploitation, vous pouvez appuyer sur la touche F8 lorsque le menu de démarrage s'affiche.

• Lorsque le menu Options avancées de Windows s'affiche, sélectionnez une option, puis appuyez sur ENTRÉE.

• Lorsque le menu de démarrage s'affiche à nouveau, avec les mots "Mode sans échec" inscrits en bleu en bas de l'écran, sélectionnez l'installation que vous souhaitez démarrer, puis appuyez sur ENTRÉE.

Plus d'informations sur :

• Description du mode sans échec dans Windows 2000

http://support.microsoft.com/?id=202485

• Description du mode sans échec dans Windows XP

http://support.microsoft.com/?id=315222

2. Rechercher et supprimer le fichier msblast.exe sur le disque dur incluant les fichiers cachés et système. Celui-ci peut se trouver dans les répertoires WindowsSystem32 et WindowsPrefetch

Note : Pour afficher les fichiers cachés

• lancer la fenêtre Rechercher

• aller dans le menu Outils -> Options des dossiers -> onglet Affichage puis,

• cliquer sur Afficher les fichiers et dossiers cachés du répertoire Fichiers et dossiers

Pour lancer la recherche :

Sous Windows XP

• Cliquer sur Démarrer et puis Rechercher.

• Sélectionner l'option "Tous les Fichiers et tous les dossiers" et ensuite cliquer sur "Options Avancées"

• Cocher les 3 cases si elles ne sont pas cochés : "Rechercher dans les dossiers systèmes" "Rechercher dans les fichiers et les dossiers cachés" et "Rechercher dans les sous-dossiers"

• Taper "msblast.exe" comme nom de fichier.

• Appuyer sur le bouton Rechercher

Sous Windows 2000

• Cliquer sur Démarrer et puis Rechercher.

• Sélectionner l'option "Des fichiers ou des dossiers"

• Taper "msblast.exe" comme nom de fichier.

• Appuyer sur le bouton Rechercher

3. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe)

4. Suivre l'arborescence : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

5. Supprimer la valeur "windows auto update"="msblast.exe"'

6. Arrêter le poste

Etape II - Correction

Cette étape comprend trois actions :

• Protection de votre système

• Installation du correctif MS03-026

• Elimination du ver.

Protection de votre système

1. Débrancher le modem ou le câble réseau

Windows XP ou Windows 2003 - Activation du pare-feu

2. Démarrer en mode normal

3. Démarrer le Pare-feu sur la connexion Internet (Important : si on ne le fait pas, le poste peut être contaminé à nouveau dans la minute)

Pour configurer le Pare-feu de connexion Internet manuellement pour une connexion:

a. Dans le Panneau de configuration, double-cliquer sur Connexions réseau et Internet, puis cliquer sur Connexions réseau.

b. Cliquer avec le bouton droit sur la connexion sur laquelle vous voulez activer le Pare-feu de connexion Internet, puis cliquer sur Propriétés.

c. Sous l'onglet Paramètres Avancés, cocher la case pour sélectionner l'option Protéger mon ordinateur ou mon réseau.

d. Si vous voulez activer l'utilisation de certaines applications et de certains services via le Pare-feu, vous devez les activer en cliquant sur le bouton Paramètres, puis en sélectionnant les programmes, protocoles et services à activer pour la configuration du Pare-feu de connexion Internet.

4. Rebrancher le modem ou le câble réseau et redémarrer le poste

Windows NT 4 ou Windows 2000 - Désactivation de DCOM

2. Démarrer l'éditeur du registre (Démarrer -> Exécuter -> Taper Regedt32.exe)

3. Dans l'arborescence : HKEY_LOCAL_MACHIINESOFTWAREMicrosoftOle modifier la valeur de la clé EnableDCOM à " N "

Note : La valeur devra être mise à " Y " une fois que la machine sera libre du ver.

4. Rebrancher le modem ou le câble réseau et redémarrer le poste

Installation du correctif MS03-26

1. Appliquer le correctif de sécurité MS03-026 (Patch en version française) disponible à l'adresse :

• Pour Windows XP

http://microsoft.com/downloads/details.asp...32-3DE40F69C074

• Pour Windows XPPRO et XP HOME 32 bits FR :

http://download.microsoft.com/download/d/7...980-x86-FRA.exe

• WIN2K PRO :

http://download.microsoft.com/download/d/9...980-x86-FRA.exe

• Pour Windows 2000

http://microsoft.com/downloads/details.asp...&displaylang=fr

• Pour Windows NT 4.0 Server

http://microsoft.com/downloads/details.asp...&displaylang=fr

• Pour Windows NT 4.0 Server, Edition Terminal Server

http://microsoft.com/downloads/details.asp...&displaylang=fr

Pour plus d'informations et pour la version de Windows 2003, veuillez consulter la fiche technique ci-dessous:

MS03-026: Une saturation de la mémoire tampon dans l'interface d'appel de procédure distante peut permettre l'exécution de code

http://support.microsoft.com/?id=823980

Elimination du ver

1. Pour éliminer le ver, passer l'outil de suppression de Symantec disponible sur http://securityresponse.symantec.com/avcen...er/FixBlast.exe

2. Mettre à jour son antivirus avec la dernière signature et scanner son poste

Outils tiers :

Des outils d'élimination du ver sont disponibles auprès des éditeurs d'antivirus. Vous en trouverez ci-dessous une liste non exhaustive :

• Symantec :

http://www.symantec.fr/techsupp/ssi/virus_...aster_worm.html

• Computer Associate :

http://www3.ca.com/solutions/collateral.as...27081&CID=48952

• McAfee :

http://us.mcafee.com/virusInfo/default.asp?id=lovsan

• Trend Micro :

http://www.trendmicro.com/vinfo/virusencyc...=WORM_MSBLAST.A

• F-Secure :

http://www.f-secure.com/v-descs/msblast.shtml

Les coordonnées des Outils tiers mentionnés dans ce document vous aideront à obtenir le support technique dont vous avez besoin. Ces informations peuvent faire l'objet de modifications sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.

Les produits tiers mentionnés dans cet article proviennent de fournisseurs indépendants de Microsoft ; nous n'accordons aucune garantie, implicite ou autre, en ce qui concerne le fonctionnement ou la fiabilité de ces produits.

Informations complémentaires :

Si au cours de vos manipulations, une fenêtre indiquant la fermeture de Windows dans quelques secondes apparaît, il est possible d'annuler cette opération de la manière suivante : sélectionnez Démarrer / Exécuter puis tapez " shutdown -a ". Cette opération n'est valable que sur un système Windows XP.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...