Mon PC reboot tout seul : la solution ! [MàJ]
Par
La rédaction La rédaction
| Publié le 11/08/2003 à 23:43
Source : Présence PC | Mots-clés : pc, reboot
Source : Présence PC | Mots-clés : pc, reboot
Syndication :
Un nouveau ver dévastateur vient d'être découvert il y'a peu. Se propageant par e-mail, peer-to-peer ou encore par scan d'IP, il devient urgent de vous protéger ! Ce ver utilise la faille récemment découverte dans le système d'exploitation Microsoft Windows, la faille RPC, N'attendez plus, protégez-vous ! Pour le faire, lire la suite de la news...Le ver Blaster DCOM-RPC se charge et exécute le fichier Msblast.exe et le positionne dans la clé de registre.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Le fichier Msblast est alors exécuté à chaque démarrage de la machine.
Chaque année du 16 août jusqu’au 31 décembre, un Denis de Service est réalisé sur le service windowsupdate.com.
Ce ver se propage à une vitesse fulgurante, malgrés l'ancienneté de la faille utilisée.
Le signe caractéristique de l'infection est un redémarrage (impossible à arrêter) de l'ordinateur suite à un plantage du service RPC, ou "Un ordre de reboot distant".
Protection :
- Installez le patch microdoft disponible ici: http://download.microsoft.com/download/d/7/9/d79802a1-909a-4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe.
- Bloquez les ports TCP 135, 139 et 445 à l'aide de votre firewall.
- Mettez à jour vos antivirus.
Désinfection :
Si vous avez déjà été infecté par le ver (signe significatif : redémarrage de l'ordinateur avec un message d'erreur RPC) :
Installez ce petit logiciel qui vous débarrassera de ce ver (par Symantec)
Quelques liens qui traitent de ce ver :
Francais :
http://www.clubic.com/n/n9634.html
Anglais :
http://www.datafellows.fi/v-descs/rpc.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Merci à Kévin Dunglas (Keyes, membre IDN), pour la réalisation de cet article, modifié par Nitou.
-
Actualité précédente
Navigateurs internet, and the winner... -
Actualité suivante
MSN Explorer 9
Des attaques sur les principaux résaux universtaires, d'entreprises, etc sont à craindre des leur réouverture en Septembre (fermé pendant les vacances, pas de mises-à-jour), comme le ver donne un accés total aux machines infectés, des tentatives Déni De Service (DoS, DDoS) sont possibles sur les plus gros sites (services, réseaux) mondiaux (meme si ils fontionnent sous linux :-/).
Les admin en vacances ont intérré a vite éxécuter Windows Update à la rentrée.
Merci pour cette info ;-)
Avec Zone Alarm Pro meme si vous n'etes pas mis a jour au niveau de Windows, l'attaque ne devrait pas aboutir. Pour les autres firewalls que je n'ai pas testé je n'en c'est rien.
C'était l'euphorie hier soir sur le chan mdr :-)
Salut , je suis au tafe j'ai pu faire quelque recherche rapide ; j'ai trouvé 1 info interessante. merci keyes pour le liens
Hier soir mon probleme refonctionner corectement (fini le compte a rebourd)
voici le lien : http://www.vossey.com/
Un nouveau worm se répand sur le net, il utilise une faille de sécurité sur le rpc, il touche les pc équipés de windows 2000 et XP, si vous avez un bon firewall, vous ne devriez avoir aucun problème, par contre si vous n'en avez pas et que vous ne pouvez plus copier/coller de fichiers ni vous servir correctement d'IE sous 2000 ou que votre PC reboot de manière intempestive ou après un décompte de 60 secondes lorsque vous venez de vous connectez sous XP alors vous êtes touché. Pour corriger le faille, un patch vient de sortir :
Version XP
Version 2000
Il corrige la faille, apparemment il ne supprime pas le worm qui ne pourra alors plus fonctionner sur votre PC mais qui pourra encore contaminer ceux avec qui vous serez en contact. Espérons que l'on puisse le supprimer prochainement..
je verais bien se soir si j'ai encore se message d'autorité ;
BOnne Journée Bisous
j'oublier ma recherche au tafe ete egalement sur counter strike
mais jai pa les moyens de stocké les fichiers quelque part;j'ai 1 pc qui est bloquée pour les telechargement donc a vous de voir.
http://www.vossey.com/
donc je sais pas si le lien et autorisé
Personnellement j'ai le virus sur mon pc. Hier soir message d'erreur signalant que le pc allait rebooter. Copier/Coller impossible, icone de connexion dans le systray disparait mais on reste connecté.
J'ai réussit à contrer le reboot en désactivant cette option dans le service concerné mais ceci n'est vraiment que temporaire.
d'après un advisory de Symantec, il faudrai bloquer les ports 4444 et 69 également ( le vers s'y propagerais )
le porc 69 ?
bon la g qu une envi traiter le createur de cette news de bouley !!!!(a par si c moi le bouley bien sur :-D ) je m explique !!!!
cette news ce base sur une news de zataz qui decortiquer et expliquer comment marcher un troyen appeller autorouter qui utilise la meme faille du dit virus qui au passage s appelle (j vous donne tout les alias) blaster, msblast ou encore lovsan et que ce worm ne rien avoir avec ce troyen a par le fait qu il utilise la meme faille !!!!!
bon mais source pour ca aller voir sur secuser.com(qui ne traite que les virus aller voir la c plus sur qu ici ^^) ou encore hardware.fr pour ne siter qu eu .... sur secuser vous trouverais un patch qui desinfecte le pc autrement apres avoir mi le patch xp rebooter et suprimer tout ce qui a une refference avec msblast meme dans la base de registre !
bon now expliquer moi si g rien compri ou trtaiter moi de bouley mais pour l nstant c moi qui le dit ... BOULEY !!!!!!! ;-)
tien au passage j vois que ca parle de port ... le ver passe par le 135 TCP ...
Il y a plusieurs variantes de ce ver/virus et là on parle bien d'autorouter.
Voir cette news
PS : vive le français ^^
mais c pas ni un ver ni un virus autorouter c un troyen !!!!!! et c po lui qui fait rebooter !!!ni liu qui empeche les copier coller
pour le francais ^^ g u 4 a l oral et 3 a l ecrit au bac ^^ moi pas savoir ecrir , mais par contre je c lir !!!!!!
et pour le lien c la faille que le troyen et le ver utilise ....
Le signe caractéristique de l'infection est un redémarrage (impossible à arrêter) de l'ordinateur suite à un plantage du service RPC, ou "Un ordre de reboot distant".
Il fait aussi rebooter les machines !
oui ce ver mais autorooter est un troyen ....
regarde la source zataz ... ou il parle de reboot .???
Ce n'est pas moi qui ait fait la news donc je ne sais pas mais en tout cas moi je n'ai pas reboot car j'avais mis à jour windows ^^
bin justement c directement la new que je critique car elle dit de brave connerie a par si qq me montre le contraitre !!!
et gg pour la mise a jour moi j me suis fais avoir par ce putain de ver ^^
Voila la news est corrigée, il y a eu un petit malentendu ^^
L'article a été modifié par nit =)
J'avais moi aussi fai la mise a jour il y'a qq temps, et donc me suis pas fait avoir non plus
:-P :-D
oue c un peu mieu :-D lol
pour avoir vraiment le top de l info sur ce ver aller voir sur secuser.com c de la source sur depuis que g le net g po trouver mieu en francer on y trouve le patch (ce d autre virus aussi) et le pk du comment du virus et des lien vers d autre site de news directement (y pompe pas l info pour la reservir a leur sauce de maniere pas tjs top ...)
Il y a toujours une source sur laquelle une news est 'pompée' comme tu dis, et ça c'est pareil sur tous les sites, même secuser ^^
Maintenant personne a vérifié la news postée et il y avait bel et bien confusion, maintenant c'est corrigé.
oue c vrai ... quoi que les news afp ... mais bon c po le sujet ^^ la news est corriger c bien ca permet de pas diffuser de connerie sur le net : merci pour tout les internot qui aurais pu tombé dessus !! ;-)
Le Virus semble s'être propagé à une grande vitesse, je suis moi même infecter... :-(
Se virus s attak a parament que a XP et 2000
Désolé pour les imprécisions de cet article mais il à été rédigé hier soir, de nouvelles informations n'ont été diffusés que aujourd'hui.
Je me suis inspiré de la news de Zataz ainsi que d'autres qui sont cités dans la partie liens.
Le but n'était pas de produire quelque chose d'original mais d'aider le maximum de gens à ne pas subir de dégats.
Merci à Nitou d'avoir fait les modifications nécéssaires:-D.
le ver met 1 minute pr reboot le pc, si le temps manque pr effectueur les correctifs =>
Démarrer->éxécuter->et tapez :"shutdown -a"
le pc ne rebootera plus durant cette session, le temps de virer cette merde quoi
Petite mise en garde pour les personnes utilisant 3D Studio Max sous XP, l'installation de ce patch peut conduire à des erreurs pas sympa... comme l'impossibilité de réouvrir un fichier enregistré... :-(
Je suis degouté de voir l'incopetance de certene personne. Donner une solution avec des clefs de base de registre et tous le tralala (patch…) alors qu’une ligne d’explication suffit.
Il sufi d’allé dans les service de Windows et de spesiffier que le service RPC ne doit pas redémarrer.
et pour ce qui s en serve du service ??(bien que moi j me demande a quoi y sert^^) et sela suprime tel l empechement du copie coller ??
autrement zataz me contredi(et ce contredi tout seul par la meme ocase ;-) ) now dise que c un virus alors que dans leur autre news disait que ct un troyen en utilisent l alias pour ce virus autorooter dans leur news consacree a ce virus !! aucun autre site ne donne cette alias(just zataz) ce serait il tromper ????.... autrement j y v souvent et g etais dessus par leur rapiditer de reaction !! 3 jour de retard !!!! en plus de l alias ... enfin ca ma l air de partir en couille ,en plus ce site les news sont au compte goute depuis un momment (pt etre les tetes sont en vacances t reste un noob pour gerer l affaire ???)
Ahah, la solution de la clé de base de registre a été donnée par symantec (sont il pour autant incompétant ? renseignes toi avant de casser du sucre sur le dos des gens stp...
Puis pour les news, ca a toujours été comme ça, si tu dis cela c'est que tu n'es pas un habitué... saches qu'on a des problemes de serveur ces dernier temps (DNS mal répartis...) et que la plupart des admins/modos sont en vacances. bref si vous êtes pas content, allez voir clubic ^^ c'est marrant quand même les gens qui se pleignent comme ça, y'a d'autres sites sur le même thème, pourquoi s'enteter à poster ici, si celui-ci ne vous plait pas ? on retient personne... ;-)
PS : on est tous bénévoles, on fait ça pour les internautes alors soit vous la fermez, soit vous faites un site du même genre, en tout cas, vous n'êtes pas encourageant.
lol moi j post pour dir ce que je pence ou aider !!!
j ai vu une "connerie" soit disent que je pencer (et que je pence toujours g envoyer un mail a zataz pour eclairer plus ma l enterne !!!) et la tu nous dit aller voir ailleur !!! mais t inquiette , suis qui ce fit qu a une seul source est un sombre cretin !!! mais quand j voi un truc qui me semble pas net je le dit c tout puis esque g dit g raison ??? g dit si qq me prouve que g tord lancer moi des pierres !!!! et je trouve tout seul que g pt etre tord et encore on me dit d aller voir ailleur!!
bon bin ok j irai que voir ailleur(apres tout c quoi un gas pour un site ...)si zataz me donne des presision je courai ne pas vous en faire par (tu t en fou apres tout des gas qui passe)
aller fait marcher ta censure si tu veut mais la j te dit tout fort T CON DE REAGIR COMME CA !!!! surtout que des erreur peuvent ce glisser partout, je croi en avoir vu une mais g aimi une reserve que j vien just de confirmer ...
aller @ jamais j remet plus les pied ici (just pour voir ta reaction ;-) )
Le plus con c'est celui qui s'entête à rester ici alors qu'il n'a soit disant rien à foutre ici ^^
Non seulement j'ai rien compris à ta prose mais en plus je m'en balance royalement, sur ce bye :-P
Martin, qui est incompétant ?
celui qui fait un OS qui n'est customisable que en se plongeant dans la base de reg ?
celui qui n'applique pas le patch ?
celui qui donne une solutioon qui parait bancale, mais qui marche ?