[Virus] reboot force

Fil fermé
Partager Rechercher
Puisque qu Aratorn a ferme le thread sans filler toutes les infos pour lutter contre le Virus et qu il est actuelement en train de faire des ravages. Puisque que tous les utilisateurs n ont pas envie de fouiller les recoins de se forums voici la sulotion :

Tappez dans une ligne de commandes :
> Shutdown -a
pour annuler le reboot

1 : allez telecharger se pacth :
http://microsoft.com/downloads/detai...displaylang=fr

Le page est enormement visitee en se moment donc un peut lente ... il se peut que vous ayez du mal a l ouvrir dans ce cas cliquez droit sur le lien puis "copier le lien" puis ouvrez un navigateur et collez le lien

2 : rebooter

3 : supprimer le Virus Msblast comme indiquer

- ouvrer votre gestionnaire de tache et virer dans les processus msblast.exe
- ensuite virer dans la base de registre au niveau du démarrage l'entrée de msblast. dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] la cle contenant Msblast
( Faites une recherche sur msblast dans toute la base de registre pour plus de securite )
- Faite une recherche de Msblast sur vos disques durs et le supprimer

Il est tres important de suprimer le virus de sa becanne meme si apres le passage du patch vous n etes plus vulnerable ... vous poluez internet avec les requettes qu il envoi et vous participez a sa diffusion .

Voila maintenant que tout est expliquer on peut fermer ......

EDIT : Symantec vient de sortir un petit utilitaire pour vous debarasser du worm , voici la page avec le lien sur l utilitaire. ( je ne l ai pas teste ) ( cela ne vous dispense absoluement pas du pacth microsoft )
je n'arrive plus a copier coller certaines chose (dont sur jol)
les liens hypertextes ne marchent plus
la fonction de recherche fichier ne marche plus

edit : marche tjs pas apres tuage du processus msblast.exe , copier le raccourci non plus.
info : quand j'ai eu le probleme reboot , j'ai reboot une 20 aine de fois avant de format par depit . Apres format de mon dur le virus est resté , puiisque j'ai tjs ce probleme
c est du au virus

dans ce cas commence par le supprimer

( etape 3 ) ALT-CONTR-SUPP pour avoir le gestionnaire de tache

enfin normalement copier le racourci fonctionne (click droit sur le liens )

EDIT : NFG Shutdown -a pour arreter le reboot ensuite tu bosses ... le liens je te le donne en toutes lettres pour que tu puisse le tapper : http://microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=fr
c est un virus qui utilise un buffeuraveflow sur le service RPC des systemes a base de win NT (win XP 2000 et NT ) , la lui permet d avoir une invite de commande sur un PC distant et donc de se dupliquer. Bref tu le choppes si tu as ete scanne par le virus (hazard )

Et donc ceux qui le laisse sur leur becanne peuvent contaminer bc de monde ....

Info : le port RPC est le port 135 pour ceux qui ont des firwalls
En gros, un Service de blabla à distance sur les PC Windows à base NT (2000, XP et NT) possède une faille, un gars l'a use pour en faire un vers et donc 'prendre +/- le contrôle du PC', le symptome est donc ce reboot à cause du Service RPC
Citation :
Provient du message de Danseflamme
heu tu peu expliquer avec des mots simples pour les non initiés comme mwa ^^ ?
Ca ne vat pas etre facile .....

Les attaques par bufferowerflow consiste a envoyer plus de donnees que ne l accepte le service distant ... la plupart du temps ca fait planter le service , dans de rares cas les donnees envoyees en trop sont chargees en memoire et executees ( c est le cas )

Le service RPC (remote procedure call) est un service qui tourne sur les systemes d exploitation windows NT XP et 2000. Il permet de se logger et d acceder a un ordinateur a distance.

Ce virus n utilise donc pas de messagerie pour se propager et il n y a pas besoin de l executer non plus pour qu il se propage ... il est totalement autonome et les service RPC est forcement demarre sur vos ordinateurs

=>> DONC MEME SI VOUS N AVEZ PAS ENCORE LE VIRUS PATCHEZ VOTRE SYSTEME
Ca dépend je pense

Admettons que tu sois en 'contact' (par le Net on se comprend) avec un PC vérolé et qu'il envoie une requête pour se diffuser à ce moment bah pitêtre :x

Mais je sais pas comment il se propage exactement
Citation :
Provient du message de Caelia
Ca passe a travers les routeurs firewallisés en hardware ?
Comme indique plus haut ca passe sur le port 135 (RPC) ... ca depend donc de la configuration de ton firwall .... (en general il est ouvert vu que c est un service interne a Windows )$

Sur les firwalls d entreprise aucun pb (si votre service info est un tant soit peut competant )...
Citation :
Provient du message de gnark
Comme indique plus haut ca passe sur le port 135 (RPC) ... ca depend donc de la configuration de ton firwall .... (en general il est ouvert vu que c est un service interne a Windows )$

Sur les firwalls d entreprise aucun pb (si votre service info est un tant soit peut competant )...
Le RPC n'est pas use, la requête ne viendrait pas de ton PC donc le firewall/routeur Hardware laisserait pas passer en théorie nan ?

Alors que si on te force à l'use par une requête quelconque là, bingo il passe...

Enfin, je suppose, déduction là ^^
Re: [Virus] reboot force
Citation :
Provient du message de gnark
- ensuite virer dans la base de registre au niveau du démarrage l'entrée de msblast. dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] la cle contenant Msblast
Excuse moi, mais je n'ai pas très bien compris ce passage.

La ligne : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] est à utilisée avec la commande "executer" (ça marche pas pour moi, avec ou sans parenthèses) ? Ou est ce autre chose ?

Désoler, je suis un néophyte complet en ce qui concerne les coté un peu technique de windows .

Edit : dsl j'ai chercher un peu et je pense avoir trouver, c'est avec la commande regedit.exe c'est ça ? Ensuite on supprime la ligne parlant de ce MSBlast de mes deux ?
Citation :
Provient du message de Karl
Svp, précisez bien que ce truc n'arrive pas à ceux qui utilisent Win98
Pour le moment je te le confirme, ça ne peut pas arriver à Win98 car je ne crois pas qu'il y ait ce se Service RPC, je vais vérifier

Après vérification, je confirme, maintenant je peux tjrs me tromper
Re: Re: [Virus] reboot force
Citation :
Provient du message de Roolgon
Excuse moi, mais je n'ai pas très bien compris ce passage.

La ligne : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] est à utilisée avec la commande "executer" (ça marche pas pour moi, avec ou sans parenthèses) ? Ou est ce autre chose ?

Désoler, je suis un néophyte complet en ce qui concerne les coté un peu technique de windows .
Non, avec Exécuter (haha le jolie nom contre le Vers là ) tu tapes : regedit

Ensuite, avec l'arborescence tu vas dans HKEYblablabla =)
Citation :
Provient du message de KrooG
Le RPC n'est pas use, la requête ne viendrait pas de ton PC donc le firewall/routeur Hardware laisserait pas passer en théorie nan ?

Alors que si on te force à l'use par une requête quelconque là, bingo il passe...

Enfin, je suppose, déduction là ^^
C est loin d etre si simple ... dans l architecture interne de windows XP 2000 et NT le service RPC est utilise comme un service distant . Si le firewal qui est sur ton PC bloque completement se port ton PC ne fonctionnera pas correctement donc les 3/4 des firrwal perso ont ses ports ouvert dans leur configuration par default . Sur un firwall externe au PC tu n as pas se probleme .
Citation :
Provient du message de gnark
C est loin d etre si simple ... dans l architecture interne de windows XP 2000 et NT le service RPC est utilise comme un service distant . Si le firewal qui est sur ton PC bloque completement se port ton PC ne fonctionnera pas correctement donc les 3/4 des firrwal perso ont ses ports ouvert dans leur configuration par default . Sur un firwall externe au PC tu n as pas se probleme .
Et si je désactive le RPC ?
Après avoir patcher je pense qu'il faudrait renommer le compte Administrateur ce qui serait une première barrière dans le cas où les infos de ce compte de votre PC aurait vraiment été envoyé n'importe où/à n'importe qui
Fil fermé

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés