Besoin d'aide pour identifier un virus ...
Le
Steve2a
Salut tout le monde !
Voilà le topo : G le pc du beau frere qui plante, et bien entendu, NAV a été
désactivé probablement par le virus lui même (OS win2kpro SP3).
voici dans l'ordre chronologique ce qui s'est passé :
Il a commencé a avoir svchost qui a générait des erreurs, donc j'ai pensé à
blaster, le ver à la mode.
- En passant l'utilitaire de symantec fixblast.exe, il n'a rien trouvé :-(
- lorsque j'essaye d'acceder aux services pour modifier les parametres de
récup du service RPC, la fenetre de propriétés ne s'affiche pas.
(d'ailleurs, impossible de fermer le gestionnaire des services car il me
demande de fermer les fenetres propriétés avant la fenetre est
invisible). Ce même service est arrêté, impossible de le démarrer
- dans la base de registre, aucune valeur n'a été ajoutée à la clé
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run en rapport
avec "windows autoupdate".
- au démarrage de windows un programme se lance automatiquement "POWER
SAVING", que je kill via le gestionnaire des tâches.
- la connexion internet a été supprimée, ainsi que l'imprimante.
- Tous les champs d'état de NAV2002 sont sur "ACTUALISATION", et
l'autoprotect est desactivé, rien à faire pour corriger cela.
Tout cela n'est pas exhaustif, mais c'est à peu près tout ce dont je me
souviens
Est-ce que vous connaissez ces symptomes, de manière à identifier le virus
et eventuellement rattraper le coup en scannant avec un utilitaire du genre
de ceux de chez symantec ?
En tous cas, merci d'avance pour votre aide
A+
steve2a
Voilà le topo : G le pc du beau frere qui plante, et bien entendu, NAV a été
désactivé probablement par le virus lui même (OS win2kpro SP3).
voici dans l'ordre chronologique ce qui s'est passé :
Il a commencé a avoir svchost qui a générait des erreurs, donc j'ai pensé à
blaster, le ver à la mode.
- En passant l'utilitaire de symantec fixblast.exe, il n'a rien trouvé :-(
- lorsque j'essaye d'acceder aux services pour modifier les parametres de
récup du service RPC, la fenetre de propriétés ne s'affiche pas.
(d'ailleurs, impossible de fermer le gestionnaire des services car il me
demande de fermer les fenetres propriétés avant la fenetre est
invisible). Ce même service est arrêté, impossible de le démarrer
- dans la base de registre, aucune valeur n'a été ajoutée à la clé
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run en rapport
avec "windows autoupdate".
- au démarrage de windows un programme se lance automatiquement "POWER
SAVING", que je kill via le gestionnaire des tâches.
- la connexion internet a été supprimée, ainsi que l'imprimante.
- Tous les champs d'état de NAV2002 sont sur "ACTUALISATION", et
l'autoprotect est desactivé, rien à faire pour corriger cela.
Tout cela n'est pas exhaustif, mais c'est à peu près tout ce dont je me
souviens
Est-ce que vous connaissez ces symptomes, de manière à identifier le virus
et eventuellement rattraper le coup en scannant avec un utilitaire du genre
de ceux de chez symantec ?
En tous cas, merci d'avance pour votre aide
A+
steve2a
Poser une question
nous a dit / has told us
Le mieux serait sans doute de passer un antivirus en ligne.
Tu en trouveras un sur www.secuser.com
--
Corinne
pour m'écrire/to write me
rainbow21 server : netcourrier.com
Voici le copié/collé de mon post au thread de Jacques Louis de ce jour
intitulé : Au secours.
Il s'agit ss aucun doute du virus Blaster et/ou de ses copains
les variants Welchia et Nachi qui ne se gênent pas pr utiliser les ports
135 (netbios) et 5000 (RPC UPP).
Si tu veux plus d'infos consultes impérativement le site de MS :
http://www.microsoft.com/technet/tr...03-026.asp
TRES IMPORTANT :
Vérifies que tu as bien installé le patch MS + activé/installé un FW pr
bloquer les ports 135 & 5000.
Tu dois bloquer le trafic vers les ports 4444/TCP et 69/UDP pour freiner
la propagation de ce ver.
Pour éviter les attaques venant de l'extérieur, filtres les ports 135 à
139 et 445 en TCP et en UDP.
Pour le 5000 (RPC UPP) filtres le aussi.
Pour info : tous les ports sont filtrés par défaut en entrée par un FW
personnel. ;)
Claude
Essaie ceci :
regedit en ligne de commande :
Aler à la clé :
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services RasMan PPP
EAP
clés 25 et 26 Les supprimer
Redémarrer le PC
Si le problème persiste, idem pour les clés 13 et 4.
--
http://www.optimix.be.tf /MVP WindowsXP/
http://perso.wanadoo.fr/websecurite/
*Helping you void your warranty since 2000*
---***ANTISPAM***---
Click on the link to answer - Cliquez sur le lien pour répondre
http://www.cerbermail.com/?ojoFyWG7FQ
@(*0*)@ JacK
Essayez la procédure décrite sur http://invircible.com/item/72 Elle fonctionne
toujours.
--
NetZ Computing Ltd. ISRAEL http://invircible.com
InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities
E-mail sent in reply to this post will not be considered private and
will be answered in the newsgroup. Top posting is not appreciated!
Bon, rien de bien nouveau,
j'ai installé le patch microsoft, les symptomes restent
J'ai scanné le pc avec une disquette NAV à jour, aucun virus trouvé.
J'ai parcouru la BdR à la recherche des clés, j'ai supprimé la 13 et la 4,
toujours pareil ...
Je vais donc essayer en dernier recours de suivre la procédure qu'a indiqué
Zvi Netiv, et je vous tiendrais au courant.
Bref, à mon avis, la reinstall n'est pas loin ... (heureusement que j'ai
ghosté la partition il y a 5 mois environ ...)
Bonne continuation à tous et à bientôt, je vous tiens au courant.
A+
Steve2a