High-Tech Santé Médecine Droit-Finances

Réalisation

vidéo numérique

Rechercher : dans
Par :

RPC : l'attaque est lancée

Marmot, le 11 aoû 2003 à 21:19:35
 Signaler ce message aux modérateurs

Faut croire que tous les script exploitant le bug RPC (NT4/W2k/XP) sont arrivés à maturité et ce sont propagés ces derniers jours. Autours de moi c'est l'hécatombe, ils tombent tous les uns après les autres :-)

Si votre ordinateur vous laisse une minute pour tous sauvegarder avant extinction, souriez, vous êtes hacké 8-)

Pour vous protégez : patch et firewall

http://groups.google.be/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&threadm=e%24Sqel8XDHA.1816%40TK2MSFTNGP09.phx.gbl&rnum=1&prev=/groups%3Fhl%3Dfr%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26q%3DRPC%26btnG%3DRecherche%2BGoogle%26meta%3Dgroup%253Dmicrosoft.public.fr.windowsxp.*

1

patrice pcz, le 11 aoû 2003 à 23:05:41

Hébé...

   

2

nicolas, le 11 aoû 2003 à 23:08:01

Je suis égalemnt victime du mm probleme
est ce que la solution précisée met fin a ce probleme ?

par avance merci

nicolas

   

4

Marmot, le 11 aoû 2003 à 23:14:30

Windows Update résoudra le problème, si tu n'y pas accès l'installation d'un firewall est un paliatif suffisant.

   

3

patrice pcz, le 11 aoû 2003 à 23:11:41

Si c'est un cheval de troie, logiquement, il faut passer un coup de spybot pour le virer pour commencer ...


:-)

   

5

Marmot, le 11 aoû 2003 à 23:15:15

Ce n'est pas nécéssairement un cheval de troie, cela peut-être une attaque de l'extérieur.

   

6

nicolas, le 12 aoû 2003 à 08:20:12

G commence la mise a jour ave le service pack 1 de wxp et ca a plante bien comme il faut
je crois que je suis bon pour une reinstallation
ah noooooooon !

   

7

clle, le 12 aoû 2003 à 08:58:59

Bonjour,

meme probleme
Cela dit voila des news de secuser :

"Lovsan est le premier virus ciblant les ordinateurs vulnérables à la faille RPC de Microsoft. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP puis scanne le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 15/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système. Ce virus pourrait causer d'importantes perturbations dans le fonctionnement d'Internet ces prochains jours, la mise à
jour des ordinateurs sous Windows NT, 2000 et XP est urgente et impérative.
http://www.secuser.com/alertes/2003/lovsan.htm

2. SYSTEME(S) CONCERNE(S)
Windows NT
Windows 2000
Windows XP

3. PREVENTION
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate pour corriger la faille RPC exploitée par le virus pour s'exécuter automatiquement.
http://www.secuser.com/communiques/2003/030717_winrpc.htm
http://www.secuser.com/outils/index.htm#windowsupdate

4. DESINFECTION
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.
http://www.secuser.com/alertes/2003/lovsan.htm#Desinfection
"

A ceux qui s'y connaissent certainement plus que moi, suivre ces recommandations est-il suffisant?

-clle-

   

8

-wil, le 12 aoû 2003 à 15:11:26

Bonjour,
j'ai eu le meme pb, j'ai fait windows update et maintenant c bon. Mais j voudrai savoir maintenant comment le viré de mon systeme. Plus haut Patrice pcz parlait de passer un coup de spybot pour le virer mais qu'es qu'un spybot ?

merci

   

19

patrice pcz, le 15 aoû 2003 à 13:16:55

Salut -wil

J'ai parlé de spybot suite a une hypothèse de cheval de troie ce qui n'est pas finalement le cas pour ce virus.

Spybot est un freeware bien pratique qui permet de nettoyer cheval de troie et pleins de petits espions que tu peux récupérer sans le savoir en naviguant sur le web.

plus d'infos là : http://spybot.eon.net.au/index.php?lang=fr&page=news

Il y a deux liens en haut de la page .

On l'a répété sans s'en lasser : pour la navigation Internet surtout ADSL avec connection permanente, le minimum, c'est Antivirus à jour + parefeu (Sygate, ZA..) + logicile de nettoyage (Spybot, Adware6...)

La preuve avec lovsan : le pare feu le bloque en attendant de patcher l'usine à gaz microsoft...





 L'amitié est une âme qui vit dans deux corps. (Aristote)
  :-)                                                       

   

9

Marmot, le 12 aoû 2003 à 15:56:59

Symantec a sorti un fix pour ce vers cliquez ici ->http://securityresponse.symantec.com/avcenter/FixBlast.exe

   

10

-wil, le 12 aoû 2003 à 16:53:57

J t remercie

   

11

Marco_src02, le 12 aoû 2003 à 18:32:24

Mes 2 PC en réseau infectés, je comprenais pas ce bordel.
Voila que je suis au courant.
thks
Marco

   

12

alek, le 13 aoû 2003 à 10:47:53

Ok bon je vois que le gros bill est vraiment a la rue, comme le bouche ;)
bref donc je suis hacké mais le pire c que je n'ai plus la possibilité de créer de nouvelle connection internet
et des le demarrage de winxp, au bout de deux minutes j'ai
"pour finir d'installer, vous devez redemarrer !"
bref ça tourne en blouc lol et pas possibilité d'avoir l'assistant de connexion réseau ?
bye, kelle galere qu en meme

   

13

Marco_src02, le 13 aoû 2003 à 15:45:26

Je croyais que j'avais révé en voyant des choses bizarres se produirent pendant que le PC était infecté.
-copié/collé inactif sur certain textes
-les liens pour DL le patch sont tous bons sauf ceux qui m'interressent(Win XP) qui ne fonctionnent pas
-pendant le DL(après avoir rusé, relancé le naviguo)il m'ouvre une fenetrer cette application doit se terminer machin mazchin....", laissez cette fenetre ouverte, le DL se terminera normalement!

Vous avez eu droit a quoi vous?

   

14

Le_DiSCiPLe, le 14 aoû 2003 à 12:41:09

Pareille pour moi ... glisser/deplacer de la souris ne fonctionnant plus lien internet vide plus de driver graveur plus de conection internet (g reinstaller xp a l'arrach sur un autre dd) kelkun pourrai me dire komen fo faire pour reinstaller xp pro par dessu xp pro ??? g la fleme de tout reinstaller . y'a pa une otre solution ke formater ? g plu non plu de restoration systeme .... en fait g vu ke la plupar des services administrateurs avé eté aretés ... je peu pa les redemarés il me di "erreur 1080" ou "aucun peripherique actif ne lui est attribue". il fo ke je reinstall vite je ne supporte plu ...

   

15

Clmze, le 14 aoû 2003 à 21:03:53

Salut,
Je voulais vous parler de ces infos comme quoi le vers ferai des dégàts au niveau matériel.Est ce que c'est possible et est que c'est déjà arrivé auparavant? >merci

   

16

moh, le 15 aoû 2003 à 00:39:32

- Installer le patch Microsoft sur :
http://download.microsoft.com/download/d/7/9/d79802a1-909a-4­806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe

- Verifier si "msblast.exe" est présent dans la liste de processus (faire CTRL+ALT+Supp, se rendre dans l'onglet processus).
- S'il est présent le sélectionné et faire "terminer le processus".
- Vérifier la présence du fichier msblast.exe dans le répertoire "/windows/system 32" et le supprimer.
- Le supprimer du cache de Windows (dans le répertoire /windows/prefetch).
- Penser également, dans Windows XP à le supprimer des points de sauvegarde (C:\System Volume Information\)
- Lancez Regedit (démarrer, exécuter, tapez regedit) et se rendre dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run) et supprimer la clé "windows auto update=msblast.exe".

Le méchant ver devrait normalement être éradiqué de votre machine !

   

18

Clmze, le 15 aoû 2003 à 13:09:37

Merci moh mais en fait je n'ai pas de problème vis à vis de ce virus ,
c'est juste qu'il y en a sur le forum qui ont l'air de penser que le vers pourrait faire des dégàts matériels (bousillage de graveur ) :
http://www.commentcamarche.net/forum/affich-371684
et en fait je suis quasi-sur que c'est impossible donc je voulais demander si un vers/virus/trojan pouvait provoquer un dégàt matériel ( pour être sur ) et si quelqu'un avait vu un exemple dans le passé ...

EnTEr the Dragon

   

25

Castor, le 19 aoû 2003 à 13:12:44

Pour repondre a ta question OUI un virus peut endommager le materiel..
cependant il est dirigé vers un modele precis.
par exemple j'ai deja vu un virus effectuer des "crash-test" sur les tetes de lecture de certains diesque durs..
mais cela n'est valable que pour un type et modele de matériel bien precis, donc c'est assez rare (il faudrait un virus pour chaque modele de disque dur... par exemple)
Mais oui c'est possible.

.O  Sauvez Mary, mangez Chouba
(_)__... Castor

   

31

peps, le 25 sep 2003 à 14:56:33

Bonjour,
CASTOR tu as oublié ou méconnu le virus PARITY BOOT, ou le AUSSIE 01, ou bien le WHISPER.
PARITY BOOT était un virus dormant stocké sur les disquettes d'install de certains jeux, ces disquettes contenait un perçage en un point précis, le check state ne trouvant pas ce perçage ne dévalidé pas le virus, il se chargeait en RAM et écrasait systématiquement tous les fichiers présents sur le disque dur, puis tronquait le bootdisk (et ce quel que soit le modéle de celui-ci), il utilisait pour celà une fabrication d'une firme, inconnue alors CENTRAL POINT SOFTWARE, célébre maintenant sous un autre nom SYMANTEC, ce fichier était un petit exécutable du nom de WIPEINFO.EXE. Idem pour le whisper, qui lui était lié au sizer de la disquette d'install.
Le AUSSIE 01, lui faisait de l'overclocking bus et CPU (tous modèles), jusqu'au plantage complet de tous le matériel présent (surchauffe), c'est d'ailleurs des virus comme celui-ci qui on forcé les pouvoirs publics à modérer les élans des éditeurs de logiciels en interdisant la destruction de bien privés (en principe quoi que...).

   

26

bruno, le 19 aoû 2003 à 15:10:17

Ah merci castor depuis le temps que je l'attendais celle-là .
Sans vouloir trop en demander ;)) c'etait quel virus sur quelle marque de disque dur car j'ai du mal à te croire ( pas à cause de toi , je suis comme ça)

   

32

kikouInfecte, le 13 déc 2003 à 13:25:29

Salut,
j'ai essayé ce ke tu as dit, mais je ne trouve msblast.exe null part, pourtant je suis infecté par se virus, car je recois des messages qui me l'indique et ca fait redemarrer mon ordinateur tout le temps.
je suis sous windows XP pro, j'ai meme telcharger le Patch XP, mais le ver m'empeche de lancer le progamme, donc j'ai essayer de l'executer a partir de son emplacement sur explorer mais c'est le meme proble le ver l'empeche de s'executer.
Si quelqu'un connait une solution, aidez moui SVP.
Merci d'avance

   

33

patrice pcz, le 13 déc 2003 à 13:58:53

Salut,

Lis attentivement cette page :
http://www.commentcamarche.net/virus/lovsan-blaster.php3

il faut que tu charges le kit de désinfection ( l' adresse y est)
que tu nettoie ton ordi avec (hors connection pour éviter d 'être réinfecté) puis que tu lance le patch.
N'oublie pas d'activer le firewall (parefeu) intégré à XP si ce n'est fait.

Elle seule et je sais d'où
L'oiseau chante le temps doux

   

17

Clmze, le 15 aoû 2003 à 13:01:47

MErci kaled si tu pensai à la réponse qu'on m'a faite
[ps:je ne suis pas parigo malgrè mon mail:j'avais pas le choix]



EnTEr the Dragon

   

20

mx, le 15 aoû 2003 à 20:14:26

Comment fair pour une mise jour de win xp car impossible d'avoir accés a windows undapte

   

21

Marmot, le 15 aoû 2003 à 20:15:24

Lancez Regedit (démarrer, exécuter, tapez regedit) et se rendre dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Run) et supprimer la clé "windows auto update=msblast.exe".

   

22

mx, le 15 aoû 2003 à 20:25:30

Et pour la mise à jour de win 2000 nt

   

23

Clmze, le 16 aoû 2003 à 11:59:08
   

24

Ceydric, le 18 aoû 2003 à 12:27:17

Salut,
Si en plein surf vous avez la petite fenetre bien sympathique qui vous dis que l'ordi va être redemarré automatiquement vous ouvrez une fenetre dos, vous tapez :"shutdown -a", ça arrête le processus et ça vous laisse le temps de télécharger tout ce qu'il faut pour flinguer le vers.

   

27

Primax, le 12 sep 2003 à 18:57:34

Salut

G hérité de ce satané virus, trop de joie, Ceydric g lu ta solution mais g pas tout suivi alors peux tu me reéxpliké, tu tape "shutdown -a" juste comme sa toi parce que moi cela ne marche pas

Merci d'avance

   

28

Ceydric, le 15 sep 2003 à 10:12:40

Salut,
Mon truc ça marche sur XP mais peut être sur d'autres systèmes aussi, je sais pas j'ai pas essayé.
Shutdown -a te permet d'arrêter le processus d'arrêt de l'ordinateur.
Or, c'est justement ce que provoque le virus, en bidouillant au niveau "RPC" il entraîne la fermeture de windows au bout de quelques temps de surf sur internet.
Pour empêcher cette fermeture la seule solution que j'ai trouvé c'est de taper "shutdown -a" dans une fenêtre dos.
Voilà comment je m'y suis pris :
Avant de lancé ma connexion à internet j'ouvre une fenêtre dos.
Je tape "shutdown -a" MAIS JE NE VALIDE PAS (en effet si tu valide shutdown -a alors que le processus d'arrêt n'est pas lancé alors ça ne marche pas). JE NE FERME PAS LA FENETRE DOS MAIS JE RETOURNE SUR LE BUREAU DE XP.
Je lance ensuite ma connexion internet.
Je surf environ 3-4 minutes et j'ai une fenêtre qui s'affiche et qui me dit qu'il y a des problèmes avec "RPC" et qu'il me reste 10 secondes pour enregistrer mes documents avant le redémarrage de windows.
C'est à ce moment que je retourne sur ma fenêtre dos ou est déjà tapé "shutdown -a" (ce qui me fait gagner du temps parce que 10 seconde ça passe vite) et là je valide, ce qui arrête le processus d'arrêt.
Tu peux alors continuer à surfer MAIS LE VIRUS EST TOUJOURS LA, il te faut donc t'en débarrasser, et pour ça tout est expliquer par des mecs bien plus balaises que moi dans les messages précédents, mais comme maintenant tu peux surfer tu a tout le temps de lire ces messages, de télécharger les anti-virus, les correctifs etc etc...

   

29

boss, le 24 sep 2003 à 16:47:07

Bonjour,
confi xp
mm probleme, sauf que le virus est inexistant dans la liste après ctrl/alt/sup, de + refus de de connection internet , avez vous la liste des noms de ce ver, retardé l'horloge permet d'avoir le temps , mais l'installer d'un anti virus via cd rom est il éfficace ?
merci

   

30

Ceydric, le 25 sep 2003 à 14:17:23

Faut surtout que tu récupère l'exe qui te permet de flinguer le vers puis après tu fait ta mise à jour.
A la limite te prend pas la tête avec internet, va chez un pote avec une disquette récupère l'exe et lance le chez toi, fait pareille avec la mise à jour de windows et basta après tu devrait avoir la paix.
Moi je sais qu'il y des variantes du virus mais je me suis pas penché sur la question

   

34

xavier, le 13 jan 2004 à 17:21:26

Je viens d'etre touché, j'ai tout essayé dont blastsfx qui ne trouve rien, je l'ai chercher avec ses differents noms, j'ai essayé d'installer la mise a jour spécifique elle commence à s'installer mais elle a l'air de s'arreter, j'ai effectué le teste de microsoft des pc a risque mais il se coupe, norton ne peut pas se lancer...

j'ai installé AVG version d'essai il ne trouve rien.

Tout cela sur mes 2 pc avec Xp pro en réseau et se satané virus revient ...

   

35

ceydric, le 14 jan 2004 à 07:31:32

Je comprends pas là... normalement tu te débarasse du vers puis tu fais la mise à jour, mais évidemment tout ça en arrêtant pour le moment ta connexion internet... dans ton cas je ferais une copie de sauvegarde des trucs important et je formaterai parceque ce que tu décris ça ressemble à quelquechose de différent que le seul blaster, enfin je pense... tiens nous au courant...

   
38 réponses 12 Suivant
Ils ont besoin de votre aide
Collection CommentÇaMarche.net