Tom's Guide > Forum > Sécurité - Virus > empécher une attaque [RéGLé]

empécher une attaque [RéGLé]

Forum Sécurité - Virus : empécher une attaque [RéGLé]

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !

Créer un nouveau sujet Répondre

Bas de page Chercher dans ce sujet

bonjour tout le monde!

j'ai besoin d'un petit peut d'aide de votre part svp

pour expliquer rapidement le sujet.

Mon firewall (sygate personal firewall) n'arrete pas de détecter une attaque de type RPC DCOM venant d'une voir plusieur ips...

je me suis renseigné sur cette attaque et j'ai trouvé le moyen d'y remédié :

tout simplement en installer ceci "WindowsXP-KB824146-x86-FRA.exe" que l'on peut telecharger sur le site windowsupdate.com

le petit probleme c'est que je tourne sur un WindowsXP Pro SP2 et que lors de l'installation de cet executable une message d'erreur apparé comme quoi je dois l'installer sur un windows ne possédant pas de Service Pack :-?

Donc pour résumer comment puisje faire pour réparer cette faille de windows?

ps: j'ai installer les mises a jours critiques et d'autre mises a jour de sécurité ca change rien :-x

merci de vos réponse
a bientot

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

arf rien a faire ca continue

"
[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected
"

je vais essayé de voir avec les mise a jour windows car impossible d'installer le correctif sur le SP2 :-o

Répondre à mistify

Salut,

Postes un log HijackThis (dispo dans la logithèque)

Répondre à OmaR

voila :-)

Logfile of HijackThis v1.99.1
Scan saved at 00:17:53, on 23/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\CMEII\CMESys.exe
C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Fichiers communs\GMT\GMT.exe
D:\PROGRAMMES\internet\MyIE2\MyIE.exe
H:\-== Mes Logs ==-\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7387703531
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49D415CD-8567-4CCA-908D-8A43FC36E9B6}: NameServer = 213.36.80.1 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{49D415CD-8567-4CCA-908D-8A43FC36E9B6}: NameServer = 213.36.80.1 213.36.80.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{49D415CD-8567-4CCA-908D-8A43FC36E9B6}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSN Messenger\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

merci de ton aide omar sharif

Répondre à mistify

tout ce qui est winlogon et en bas GMT et CMEII le truc dans TCPIP

c'est vraiement bizare...

Répondre à mistify

bonjour coche ses lignes

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"

sinom pour ton attaque il faut que tu arete l option prevenir en cas d attaque mais je ne sais plus ou c est

supprime aussi ce fichier

C:\Program Files\Fichiers communs\CMEII\CMESys.exe

Répondre à alessio@IDN

ton firewall joue bien son rôle , sil y en a qui t'attaque ils devront passer ton FW , ce qui est loin d'être donné a tout le monde ...

Répondre à lorena

Bonjour,

fixe aussi :
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

Fais CTRL Maj Echap
Termine le processus GMT.exe

et supprime le dossier :
C:\Program Files\Fichiers communs\GMT\

pour les lignes 017 avec Tcpip rien d'anormal ça correspond à des serveurs Tiscali/Liberty Surf

Répondre à esteban54

j'ai relancer un hijackthis et la ligne O4 HKLM .... CMEII n'y été plus

donc je suis quand meme allé suprimer le fichier que tu m'a dis

sinon pour le firewall c'est sur c'est son taff d'arreter les attaques mais la c'est une attaque critique

[181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected

donc est ce qu'il me signale que le gars a quand meme réussi a passer ou qu'il l'a arreter mais c'était critique lol

enfin si vous pouvez m'éclairer sur ce point

merci

Répondre à mistify

merci esteban je viens de faire ce que tu ma dit également

je vais voir si ca s'arrange

Répondre à mistify

alors quant ton firewell te signale une attaque c est q il te la bloquer

Répondre à alessio@IDN

d'accord alessio pour la précision

sinon excusez d'encore vous embeter mais c'est 2 lignes sont elles suspectent ou non?

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Répondre à mistify

non ses deux lignes sont legitime

voila a quoi corespond la premiere ligne

L'icône de plateau de système changeait des arrangements d'affichage, changent la vitesse de fréquence de base et de mémoire pour les cartes de graphiques basées par nVidia. C'est inutile puisque vous pouvez facilement configurer ces arrangements la manière que vous les voulez dans les propriétés d'affichage et ne devez pas salir avec elles encore. Neutralisez en outre "le service d'aide de conducteur de NVIDIA" si permis comme il peut causer cette entrée re-d'être permis sur la réinitialisation (la note que ce service peut également causer l'arrêt extrême retarde si permis

et la 2eme lignes

C'est une application multi de bureau employée par NVIDIA. J'ai tiré une citation d'ici :
Le nView™ de N VIDIA® multi-montrent le logiciel -- empaqueté librement avec le dessus de bureau de NVIDIA® ForceWare™, le poste de travail, le mobile, la plateforme, et les solutions de logiciel de multimédia -- fournit une manière révolutionnaire à la multi-tâche et à l'information de processus plus faciles. Au lieu d'empiler la fenêtre sur la fenêtre dans les confins d'un affichage simple, imaginez écarter votre travail à travers les affichages multiples. Les analystes peuvent avoir un moniteur pour dépister chaque flux de données. Les artistes graphiques peuvent employer un affichage entier pour des palettes, et des autres pour l'édition. Les possibilités sont sans fin.

voila

;-)

Répondre à alessio@IDN

ben c'est gentils tout le monde de m'avoir aidé j'ai deja suprimmer des choses embetante de cet ordinateur lol

on continue tjs a m'attaqué mais mainteannt je sais que le firewall arrete donc pas d'inquietude :-D

Affaire réglé dans la rapidité

merci encore

Répondre à mistify

Créer un nouveau sujet Répondre

Tom's Guide > Forum > Sécurité - Virus > empécher une attaque [RéGLé]

Aller à :

Aide |
Règles du forum

Il y a 487 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Page générée en 0,338 secondes

Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler

Liens