[Virus] reboot force

Mangeuse-de-Pommes · 12/08/2003, 01h05

je suis Chez Wanadoo et chui connecté 24h/24 c bien çà que j'aimerai comprendre, si qq'un devait être affecté c bien moua...
Mes Ubber firewall ? Antivirus ? qui font leur Job peut être ?
j'aimerai comprendre

**gnark** · 12/08/2003, 01h05

Citation :

Provient du message de KrooG
Et si je désactive le RPC ?

Tu peux pas c est interne au fonctionnement de windows , sans ca ton pc ne redemarrera pas . C est lui que te permet de te logger quand tu lances windows (meme si tu ne tappes pas de mot de passe tu te log avec le compte administrateur par default si il n y a pas d utilisateurs de configures )

KrooG · 12/08/2003, 01h07

Citation :

Provient du message de Caelia
Bon ben vala. J'étais chez Skynet. Ca aide d'habiter un petit pays ;-). Sinon, ca devrais migrer dans combien de temps sur la Belgique ?

Y a pas de ça devrait migrer dans combien de temps

Ca dépend des flux de données entre les PCs je pense...
En théorie, avec les vitesses d'accès Internet d'aujourd'hui je pense qu'on est tous succeptible d'être touché d'un moment à l'autre

[encore une fois je parle par déduction, j'ai pas de liaison directe avec le créateur du vers

]

KrooG · 12/08/2003, 01h08

Citation :

Provient du message de Mangeuse-de-Pommes
je suis Chez Wanadoo et chui connecté 24h/24 c bien çà que j'aimerai comprendre, si qq'un devait être affecté c bien moua...
Mes Ubber firewall ? Antivirus ? qui font leur Job peut être ?
j'aimerai comprendre

Oui, sans doute FW qui taff bien

**gnark** · 12/08/2003, 01h09

Citation :

Provient du message de Mangeuse-de-Pommes
je suis Chez Wanadoo et chui connecté 24h/24 c bien çà que j'aimerai comprendre, si qq'un devait être affecté c bien moua...
Mes Ubber firewall ? Antivirus ? qui font leur Job peut être ?
j'aimerai comprendre

Si tu bloques le port 135 depuis l exterieur tu es protege sinon peut d antivirus ont la signature de se virus pour l instant ... ( demain ca ira sans doutes mieux )

Scany Jad · 12/08/2003, 01h09

Citation :

Provient du message de Caelia
Bon ben vala. J'étais chez Skynet. Ca aide d'habiter un petit pays ;-). Sinon, ca devrais migrer dans combien de temps sur la Belgique ?

Belgiuuuuuuuummm POWAAAAAAAAAA

KrooG · 12/08/2003, 01h09

Citation :

Provient du message de gnark
Tu peux pas c est interne au fonctionnement de windows , sans ca ton pc ne redemarrera pas . C est lui que te permet de te logger quand tu lances windows (meme si tu ne tappes pas de mot de passe tu te log avec le compte administrateur par default si il n y a pas d utilisateurs de configures )

K, comme je pensais donc :x

Douceur · 12/08/2003, 01h10

Ce n'est pas un virus dutout

c'est une défaillence de Windows tout simplement mise a joure par des petits malins

il faut patcher tout de suite sinon on peut s'introduire sur votre machine avec des acces root

Ascahelle · 12/08/2003, 01h10

Cela n'affecte que les systemes Nt4, w2k , win xp et même la nouvelle version server windows 2003 .

Ca déjà touché la Belgique. Le vert laisse qu'ne même un fichier sur le pc.

Mangeuse-de-Pommes · 12/08/2003, 01h13

Citation :

Provient du message de gnark
Si tu bloques le port 135 depuis l exterieur tu es protege sinon peut d antivirus ont la signature de se virus pour l instant ... ( demain ca ira sans doutes mieux )

donc c'est mon Firewall Hard qui le Block

Firewall Hard Powa !

KrooG · 12/08/2003, 01h13

Citation :

Provient du message de Douceur
Ce n'est pas un virus dutout c'est une défaillence de Windows tout simplement mise a joure par des petits malins
il faut patcher tout de suite sinon on peut s'introduire sur votre machine avec des acces root

Un vers donc

(il prends tes accès admin solo)

Millen · 12/08/2003, 01h15

comment se fait t'il que le virus reste apres un format complet du dur ?

**gnark** · 12/08/2003, 01h16

Citation :

Provient du message de NFG
comment se fait t'il que le virus reste apres un format complet du dur ?

il a ete vire mais comme la faille est reste (tu n as pas patche ) il s est reinstalle des que tu t es connecte a internet ...

Ascahelle · 12/08/2003, 01h16

Dés que tu te connecte au net ton port 135 est déjà ouvert. C'est rebelotte poru un tour tant que tu n'as pas patché.

Douceur · 12/08/2003, 01h18

Citation :

Provient du message de KrooG
Un vers donc

(il prends tes accès admin solo)

Non

A la base c'est une defaillence de Windows qui ne doit rien a personne

Apres certe des vers peuvent l'exploiter mais tu peux tout a fait l'exploiter manuelement

Misshentai · 12/08/2003, 01h18

Citation :

Provient du message de gnark
- ensuite virer dans la base de registre au niveau du démarrage l'entrée de msblast. dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] la cle contenant Msblast

qqun sais m'expliquer très simplement comme on procède pour faire celà ?

KrooG · 12/08/2003, 01h19

Citation :

Provient du message de Douceur
Non A la base c'est une defaillence de Windows qui ne doit rien a personne Apres certe des vers peuvent l'exploiter mais tu peux tout a fait l'exploiter manuelement

L'erreur est exploitée communément par un Vers là

KrooG · 12/08/2003, 01h21

Citation :

Provient du message de Plaisir SombreAmour
qqun sais m'expliquer très simplement comme on procède pour faire celà ?

Démarrer
>
Exécuter...
>
regedit
>
l'arborescence à gauche
>
développe HKEY_LOCAL_MACHINE
>
SOFTWARE
>
Microsoft
>
Windows
>
Run

**gnark** · 12/08/2003, 01h21

Citation :

Provient du message de Douceur
Non A la base c'est une defaillence de Windows qui ne doit rien a personne Apres certe des vers peuvent l'exploiter mais tu peux tout a fait l'exploiter manuelement

A la base de tous vers il y a une défaillance exploitable manuelement ... mais la c est bien un vers il se duplique et infecte de nombreux PC via cette faille .

Un ver est a la base un programme fait pour exploiter une faille ... ceci dit si vous n vaez pas le ver vous avez sans doutes quand meme la faille ..

Misshentai · 12/08/2003, 01h22

et je suprime la ligne ou il y 'a écrit ca : windaube auto update / REG_SZ msblast.exe ?

**Nof Samedisþjófr** · 12/08/2003, 01h22

Il y a déjà un fil à ce sujet sur La Taverne.

Raziiel · 12/08/2003, 01h23

Citation :

Provient du message de KrooG
Démarrer
>
Exécuter...
>
regedit
>
l'arborescence à gauche
>
développe HKEY_LOCAL_MACHINE
>
SOFTWARE
>
Microsoft
>
Windows
>
Run

[edition] --> rechercher ---> msblast ---> [suppr]

nerf wanadoo

**gnark** · 12/08/2003, 01h24

Citation :

Provient du message de Nof Samedisthjofr
Il y a déjà un fil à ce sujet sur La Taverne.

Ouais mais ici tout est exploitable des le premier post

Mangeuse-de-Pommes · 12/08/2003, 01h24

ouin ouin je suis pas affectée, je suis jalouse... les Ver m'aime pas, personne m'aime

aesthetics · 12/08/2003, 01h28

tout d abord ce n est pas un virus mais un ver ( worms ) a retardement ki circule sur le net et ki s attak o port 135 en fournissant d mauvaises info et faisant reboot le pc ( seulement ceux ki possede 2000/xp )

ensuite les liens pr le correctif

correctif pour ce worms:
XP FR : http://download.microsoft.com/downlo...80-x86-FRA.exe
XP EN : http://download.microsoft.com/downlo...80-x86-ENU.exe
2000 FR : http://download.microsoft.com/downlo...80-x86-FRA.exe
2000 EN : http://download.microsoft.com/downlo...80-x86-ENU.exe

et ce qui faut faire

1. Couper toute connexion au net.

2. ctrl+alt+suppr pour avoir le gestionnaire des tâches.

3. s'il y a un processus msblast.exe, le stopper.

4. utiliser la fonction recherche de windows sur msblast.exe et supprimer les 2 endroits où il se trouve (de mémoire : system32 et un répertoire pref???[avec le $ dedans]).

5. lancer regedit (menu démarrer..executer et faire une recherche sur msblast (pas besoin du .exe) et SUPPRIMEZ toutes les occurences (faire Rechercher puis supprimer la 1ère occurence et ensuite F3 pour poursuivre la recherche jusqu'à la prochaine). Ne pas hésiter à supprimer la valeur "windows auto update" dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6. Se connecter au net et suivre le lien de la première page de ce topic pour télécharger le correctif.

7. sitôt téléchargé (donc, dès le début de l'install), couper la connexion internet.

8. terminer l'install du patch et rebooter.

9. vérifier avec le gestionnaire des tâches que msblast.exe n'est plus chargé.

INFO : appliquer le correctif ne suffit PAS ! Il faut virer le msblast.exe car malgré le patch, il se charge toujours en mémoire. Et PURGER la base de registre

Mangeuse-de-Pommes Prophétesse	je suis Chez Wanadoo et chui connecté 24h/24 c bien çà que j'aimerai comprendre, si qq'un devait être affecté c bien moua... Mes Ubber firewall ? Antivirus ? qui font leur Job peut être ? j'aimerai comprendre
12/08/2003, 01h05

gnark [GN] Alpha & Oméga	Citation : Provient du message de KrooG Et si je désactive le RPC ? Tu peux pas c est interne au fonctionnement de windows , sans ca ton pc ne redemarrera pas . C est lui que te permet de te logger quand tu lances windows (meme si tu ne tappes pas de mot de passe tu te log avec le compte administrateur par default si il n y a pas d utilisateurs de configures )
12/08/2003, 01h05

KrooG Prophète / Prophétesse	Citation : Provient du message de Mangeuse-de-Pommes je suis Chez Wanadoo et chui connecté 24h/24 c bien çà que j'aimerai comprendre, si qq'un devait être affecté c bien moua... Mes Ubber firewall ? Antivirus ? qui font leur Job peut être ? j'aimerai comprendre Oui, sans doute FW qui taff bien
12/08/2003, 01h08

Scany Jad Alpha & Oméga	Citation : Provient du message de Caelia Bon ben vala. J'étais chez Skynet. Ca aide d'habiter un petit pays ;-). Sinon, ca devrais migrer dans combien de temps sur la Belgique ? Belgiuuuuuuuummm POWAAAAAAAAAA
12/08/2003, 01h09

KrooG Prophète / Prophétesse	Citation : Provient du message de gnark Tu peux pas c est interne au fonctionnement de windows , sans ca ton pc ne redemarrera pas . C est lui que te permet de te logger quand tu lances windows (meme si tu ne tappes pas de mot de passe tu te log avec le compte administrateur par default si il n y a pas d utilisateurs de configures ) K, comme je pensais donc :x
12/08/2003, 01h09

Douceur [TFR] Prophétesse	Ce n'est pas un virus dutout c'est une défaillence de Windows tout simplement mise a joure par des petits malins il faut patcher tout de suite sinon on peut s'introduire sur votre machine avec des acces root
12/08/2003, 01h10

Ascahelle [FY] Prophétesse	Cela n'affecte que les systemes Nt4, w2k , win xp et même la nouvelle version server windows 2003 . Ca déjà touché la Belgique. Le vert laisse qu'ne même un fichier sur le pc.
12/08/2003, 01h10

Mangeuse-de-Pommes Prophétesse	Citation : Provient du message de gnark Si tu bloques le port 135 depuis l exterieur tu es protege sinon peut d antivirus ont la signature de se virus pour l instant ... ( demain ca ira sans doutes mieux ) donc c'est mon Firewall Hard qui le Block Firewall Hard Powa !
12/08/2003, 01h13

KrooG Prophète / Prophétesse	Citation : Provient du message de Douceur Ce n'est pas un virus dutout c'est une défaillence de Windows tout simplement mise a joure par des petits malins il faut patcher tout de suite sinon on peut s'introduire sur votre machine avec des acces root Un vers donc (il prends tes accès admin solo)
12/08/2003, 01h13

Millen [OSG] Bagnard	comment se fait t'il que le virus reste apres un format complet du dur ?
12/08/2003, 01h15

gnark [GN] Alpha & Oméga	Citation : Provient du message de NFG comment se fait t'il que le virus reste apres un format complet du dur ? il a ete vire mais comme la faille est reste (tu n as pas patche ) il s est reinstalle des que tu t es connecte a internet ...
12/08/2003, 01h16

Douceur [TFR] Prophétesse	Citation : Provient du message de KrooG Un vers donc (il prends tes accès admin solo) Non A la base c'est une defaillence de Windows qui ne doit rien a personne Apres certe des vers peuvent l'exploiter mais tu peux tout a fait l'exploiter manuelement
12/08/2003, 01h18

Misshentai Alpha & Oméga	Re: [Virus] reboot force Citation : Provient du message de gnark - ensuite virer dans la base de registre au niveau du démarrage l'entrée de msblast. dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] la cle contenant Msblast qqun sais m'expliquer très simplement comme on procède pour faire celà ?
12/08/2003, 01h18

KrooG Prophète / Prophétesse	Citation : Provient du message de Douceur Non A la base c'est une defaillence de Windows qui ne doit rien a personne Apres certe des vers peuvent l'exploiter mais tu peux tout a fait l'exploiter manuelement L'erreur est exploitée communément par un Vers là
12/08/2003, 01h19

KrooG Prophète / Prophétesse	Re: Re: [Virus] reboot force Citation : Provient du message de Plaisir SombreAmour qqun sais m'expliquer très simplement comme on procède pour faire celà ? Démarrer > Exécuter... > regedit > l'arborescence à gauche > développe HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > Run
12/08/2003, 01h21

Misshentai Alpha & Oméga	et je suprime la ligne ou il y 'a écrit ca : windaube auto update / REG_SZ msblast.exe ?
12/08/2003, 01h22

Nof Samedisþjófr [Einhs]	Il y a déjà un fil à ce sujet sur La Taverne.
12/08/2003, 01h22

Raziiel [Ph S] Prophète	Re: Re: Re: [Virus] reboot force Citation : Provient du message de KrooG Démarrer > Exécuter... > regedit > l'arborescence à gauche > développe HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > Run [edition] --> rechercher ---> msblast ---> [suppr] nerf wanadoo
12/08/2003, 01h23

gnark [GN] Alpha & Oméga	Citation : Provient du message de Nof Samedisthjofr Il y a déjà un fil à ce sujet sur La Taverne. Ouais mais ici tout est exploitable des le premier post
12/08/2003, 01h24

[Virus] reboot force

Connectés sur ce fil