Reprise du message précédent :
trouvé pour l'histoire du service rpc passé en manuel !  
 
toutes les infos là : http://support.microsoft.com/defau [...] -US;165748
 
   
 
edit: sauf qu'au lieu de disabler, fo enabler

c'est quoi la meilleur protection pour vous ?? à part débrancher sa machine du net !!

linux + drweb (pas tres utile mais bon)

ok mais je reste sous windows !!!

 
zonealarm, tout bête    
 
en bref, un firewall.

question, pour les jeux style c&c generals ??? ça ne risque pas de poser un prob ?

 
   j'ai le meme problème que toi    
 
ma soeur m'a appelé car son pc vient de subir l'attaque du virus

zvais servir de cobaye : je laisse mon pc allumé+connecté 24/24 (sauf pdt les déco) et je vois si je suis touché, vu que la première vague ne m'a pas atteinte.  
 
Je n'ai ni antivirus, ni firewall, ni routeur/passerelle, je suis sous Xp Pro, le firewall de XP est désactivé, je n'ai instalé aucun patch proposé pour niker msblast.exe
 
c partiiiii

 
tu as netware aussi version 6 je crois
BEOS
UNIX
ect

 
lol

 
un cobaye que veux tester la vitesse de propagation de ce virus  

 
C'est pas pour Windows drweb ???

Ca me fait rire qu'ils pensent que ça vient d'Asie, juste pour le mot San.
 
Si ça se trouve, c'ets le diminutif de "Sandy", "Sandra", "Sandrine" ou bien de "Susan" ou autre...

ou sandwish !! ou sans papier
 
wahahahah sorry,c'est nerveux

   
 
Mais si tu as installé la mise à jour de sécu microsoft proposée il y a un mois, tu es déjà hors jeux

Je viens d'installer ZoneAlarm. J'ai déjà 8 tentatives d'accès via le port 135

http://drweb.ru/get/
Au fait,ce worm est detecte par drweb depuis avant-hier :
MSBLAST.EXE (Compressé par UPX) Infecté par Win32.HLLW.LoveSan.11296

Y a du progrès dans les virus...
Il suffit de se connecter au net pour avoir une merde !
Même plus besoin de Outlook express et de courrier ou de carnet d'adresse infecté !
 
Après avoir fait le ménage et progresser dans mes sauvegardes systèmes "à la main" de windows 2000, je reviens et pile sur le forum HFR, svchost qui merde à nouveau.
 
 
Le serveur de ce forum est infesté apparemment, ou alors c'est mon FAI Free.fr ... ?
 
Sinon le correctif marche, mais j'arrive plus à rappatrier mes photos de mon G3 avec Zoombrowser EX.
 
Donc même si chez vous ça marche bien le correctif, y a des chances pour que des trucs ne fonctionnent plus chez vous aussi, et sans forcément vous en rendre compte ...    
 
 

 
je suis chez free aussi et j'ai un G3 et pour l'instant tout fonctionne depuis que j'ai fait la mise a jour avec win update et le fix de symantec

 
ce que j'arrive pas à comprendre c'est :
 
Comment ca ce fais que la majorité des ip qui font des tentatives de contamination commencent par 81 ( free ) vue l'etat du FAI et de ses plaques DSLAM        
 
 
les ip de MAMADOO et d'autres FAI elles commencent par quoi ?

bon avec tt ça les gars, zone alarme et les jeux (comme c&c) ça ne risque pas de partir en couille ???
 
et au niveau des mises à jour ?? parce que si un marrant (un worm ou virus), utilise une faille que personne ne connait ??

Numericable aussi c'est 81....

ah..., moi j'ai pas fait le winupdate. peut-être qu'il y a des choses en plus à mettre ... pour arranger tout ça.
 
Ça me fait penser qu'il faut un lecteur de cartes multi-format pour les APN, c'est plus sérieux   , au moins c'est pas dépendant d'un soft particulier d'un APN...  
 

 
Je suis chez wanadoo et mon ip commence par 81 aussi...
Et depuis que j'ai installé le patch (par sécurité), j'ai des attaques sur le port 33999 et 1214 en grand nombre, et moins sur le 135... je comprends rien  

Vous faîtes quoi pour savoir ce qui se passe sur vos ports ?
 
Quel(s) soft(s) ?
 
Vous avez des liens qui documentent bien tous les ports d'un PC (c'est les ports de l'OS, ou de la machine ...?) et les attaques répertoriées associées à ces ports ?

Je suis chez tiscali et c'est pas mal non plus. J'ai 40 attaques sur le port 135 qui ont été bloquées en 10 minutes

 
 
sur internet security tu remarqueras que la personne contaminé par ce virus utilise n'importe quelle port pour l'envoyer mais la cible le reçoit sur le port 135
 
La règle "Bloquer par défaut EPMAP" a détecté masqué (81.57.95.169,epmap(135)).
Connexion TCP entrante
Adresse locale du service : (xxx.xxx.xxx.xxx),epmap(135))
Adresse distante du service : (xx.xxx.xxx.xxx,1508)
Nom du processus : "C:\WINDOWS\system32\svchost.exe"

Moi aussi j'ai des alertes à GOGO sur d'autre port mais le 135 reste le plus utilisé.
 
Je vous les donne si ca peut vous aidez:
4662*11
1214*2
27374*2
17300
1080
DNS
FTP
NetBios
ICMP Ping  et tout ca sur 100 alertes (j'en ai 500 depuis 18h...)

comment le virus choisi quelle ip attaquer?? au pif ? chanceux le virus qd même

 
il choisit rien il attaque tout  

 
 
c'est à dire ? il doit bien prendre quelques ips au hasard ,c'est pour ça que je dis qu'il a bien de la chance car si je prends une ip au hasard comme : 10.25.3.6 , ça ne mène nulle part.

 
AH : d'accord il fait comme les US en IRAK.    
 
il tire au hasard et c'est au petit bonheur la chance  

d'apres ce que j'ai compris il prend l'ip de l'hote pour generé les autres ip.
 
Les ip fournient au FAI sont des plages d'ip donc forcement si tu en as un tu fais +1 tu test le TCP 135 +2 tu test le TCP 135.
Je pense que ca doit etre un truc du genre.

 
Oui oui, mais cette attaque je l'ai moins depuis que j'ai installé le patch. Peut être une coincidence, j'ai changé d'ip en redémarrant après l'installation.    
 
Les attaques que j'ai c'est de ce genre :
 

Alors que j'en avais presque pas avant l'installation du patch. Et c'est presque toujours le même port, celui là et le 1214 (port de kazaa, qui ne fonctionne pourtant pas).

 
ok , ca semble plausible

 
oui, avec les avions qui portent ton nom par ex  

Ca y est la 1ere variante est sortie, pour le moment c'est une bete copie de 1er avec qq modifs : le fichier sur le dur n'est plus msblast.exe mais teekids.exe, la methode de compression est differente et y'a 2-3 autres modifs du code pour essayer de leurer les antivirus.
Bref spa encore bien mechant.

 
il utilise pas une autre faille au moins ?

 
Nan, c'est eaxctement le meme virus, avec juste quelques modifs cosmetiques histoire d'essayer de tromper l'adversaire.