Reprise du message précédent :

 
intéressant cet article !    
 
mais ils appellent le ver lovsan ou blaster...    
MsBlast serait bien plus juste  

755 connections refuséeS en 39 minutes!    
 
c'est un regain d'activité de la part de la bete ou bien  

Je suis revenu sur le pc de mon pote qui avait foiré hier (kit wanadoo buggé, impossible à installer, de même que le patch crosoft impossible à installer...   ).
 
Donc : aujourd'hui j'ai désactivé la restauration système, passé le logiciel de symantec pour virer blaster. J'ai ensuite installé le SP1 et après seulement le patch a bien voulu s'installer.  
 
Je lui ai collé ZoneAlarm et paf ! première alerte : the firewall has blocked.... blabla... port 135 etc... gniark gniark !    
 
Son pc est hors de danger maintenant.
 
Au suivant !  

si tu a le patch et pas de firewall tu a toujours des attaques surle port 135 mais cela ne te fait rien.
 
moi j'ai pas de firewall juste un systeme mis a jour régulierement et j'ai pas eu de probleme

svchost.exe (protocol UDP) est en mode listen. Faut le dégager ou pas?

 
idem pour le systeme toujours mis a jour, mais j'ai aussi le firewall du routeur ...

tant que j'aurai pas fair une paserelle linux je pense que je mettrais pas de firewall parce que les firewall logiciel j'y crois pas trop

 
Bon le fix de symantec n'a rien trouvé, mais me dit que mon système est vulnérable.
 
mais d'où vient cette instabilité du svchost alors?
 
Qui peut m'en dire plus sur ce svchost. Keskecé, à quoi ça sert, c'est bieng ou c'est pas bieng. bref un gentil ou un méchant?

disons qu'il ne sont pas infaillible (zone alarm a une faille exploitable si le niveau de securité est par defaut, ce n'est qu'un exemple parmi tant d'autres)

 
L'avantage d'un firewall, c'est d'anticiper une attaque si on a pas mis à jour windows (par ex. l'ordi a été arrêté pendant 1 mois, pas de mise à jour auto, etc...)
Pour ma part, zonealarm m'a protégé avant que je découvre le patch.

Que pensez vous de Kerio Personnal Firewall ?
 
Il me dit que le port 135 "écoute", est ce qu'il subit des attaques ?
 
Bon je demande çà pr le futur car c un port très attaqué il me semble.

 
comme tout bon firewall, il a du le bloquer ce port 135.
 
Mais je ne connait pas Kerio.

 
j'ai l'impression que personne ne t'as répondu.
 
Tu ES infecté, mais sous Win 2000 çà ne fait pas rebooter le pc, çà affiche ce message.
 
Donc : patch pr 2000, tu tues le processus msblast.exe et tu lance le norton Fixblast.exe, procédure habituelle quoi.

 
merci, mais c bizarre, svshost à un port 135 listening....

Ma pauvre élise, personne te répond, ça c bien bête, donc je prends la relève.  
 
Pollkill, d'après ce qu'en a dit Krapaud, vire quelques clés de la base de registre (un ensemble de paramètre qui régit d'autres paramètres   ) pour ensuite te permettre de faire ce que tu veux sans limitation.  
 
 
Bon, en clair, PollKill enlève les limitations, et sinon, dans un firewall, vaut mieux d'abord bloquer, puis ensuite revenir à la liste des pogrammes "connus" du firewall et débloquer ceux qui font que ça marche plus (en général benc les derniers qu'on a bloqués )
 
je sais pas si j'ai été très clair mais si tu as d'autres questions, n'hésite pas on est là pour ça

 
En tout cas moi personne ne m'a répondu. Ca c'est sûr. On dirait que je pue.
 
* J'ai Win 2K
* Le svchost a(vait) tendance à déconner
* j'ai appliqué le fix (avant le patch)
* qui n'a pas détecté le virus
* puis j'ai appliqué le patch
* j'ai rebooté
* pas de trace d'un quelconque fichier msblast.exe ni d'un processus du même nom.
* pas encore analysé la bdr
* le svchost ne déconne pas à présent MAIS Sygate lui trouve 3 connections: 2 sur le port 135, et une sur le port 3001
 
J'envisage de remettre à zéro toutes les permissions de Sygate et de tout réautoriser petit à petit.

le port 135 c'est normal... déjà indqué. 3001 chépa ce ke c'est

 
Et ça serait un gentil ou un méchant à dégager ce svchost sur le 135?  

 
aille l'ordre c'est :
 
1. Patch microsoft
2. tuer le processus msblast avec le gestionnaire des tâches
3. lancer l'utilitaire norton Fixblast.exe

 
Mais je l'ai jamais eu ce processus. j'ai juste inversé les deux patches.
 
edit: je n'ai pas al clé de registre coupable. je pense tout simplement n'être pas infecté. Et en fait je crois me souvenir avoir bloqué la tentative d'intrusion sur le port 4444
 
mais alors pourquoi ce svchost bizarre? d'autres tentatives d'intrusion?

j'ai vu ça aussi au boulot, et la reponse que j'ai eu c'est qu'il pouvais resider en memoire.
une possibilité ?

kill le process

Hum, depuis cet après-midi, j'ai des attaques sur le port 137

Je viens de rebooter.
 
Dans le gestionnaire des tâches on voit le processus svchost 3 fois.
 
Dans Sygate, on le voit également 3 fois, en protocole UDP, mode listen. 2 fois sur port 135, une fois sur port 3001
 
 mais qu'est-ce que c'est que ce putain de svchost ?
 
A part ça peu d'attaques.

Le process qui s'occupe de lancer les services. En gros derrière chaque svchost il y a un service
 
et c'est normal

 
Et 3 fois , dont deux sur le même port (135) c'est normal?

J'en ai 5 chez moi    
 
Et s'il écoute sur le port 135, c'est sûrement le service RPC (je suppose)

sur win 2000 , y a pas de pb de reboot (sympa pour 2000)
juste des messages d erreurs svchost et msblast au bout de 2-3 min , le pire c est que quand les messages d erreurs  apparaissent on peut plus telecharger!!  
 
le petit patch et basta

Punaise le nombre d'attaques est allucinant !!
 
J'en ai 1 par minutes des abonnés noos !!!
 
 

he trop bizarre      , j ai 4 svchost qui tourne en meme temps dans mes processus ( j ai tous patché ) ,  
 
c est peut-etre un bebe virus de blaster  

Google => svchost (Service Host)

x4 ici
 
 
maintenant, certains vont penser que c'est le svchost.exe le virus

On peut pas le killer

je reviens de vacances et j'ai pu eradiquer le virus (patch + fix)
 
mais voilà que noos est tres lent (voir inutilisable) et je suis en ce moment meme sur une connection de secours tiscali (en 33.60k lol)
 
est-ce que les ralentissements de noos sont en lien avec ce virus ?
 
ayant gueulé par tel au servive client il m'ont repondu qu'il sagissait d'un probleme collectif (je suis ds le 8eme à paris) qui devait etre reparé ds l'apres midi meme

 
ah ça ferait un beau hoax ça... Et tellement facile en plus...
 

 
Euh non ça c'est Noos.  
D'ailleurs tu es encore chez eux?

 
tu dois en n'avoir un qui ecoute en UDP et l'autre en TCP sur le 135 c'est pour ca
c'est normal

 
c'est normal car des intelligents comme moi ont decide de desactiver le logiciel de protection afin que se virus se propage et ralentisse internet donc ralentie de P2P    

 
un peu comme l'histoire de l'exécutable (qquechose en rapport avec java) qui avait une icône de nounours et qu'il fallait soit disant virer!
 
edit lien chez hoaxbuster

Pour installer le patch de MS sur un XP Pro, faut il avoir obligatoirement le SP1 d'installé ?
 
Sur mon xp pro sp1, ca c'est installé sans probleme.
 
Sur le xp pro (normal) d'un pote, ca refuse de s'installer ("Le programme d installation n a pu verifier l intégrité du fichier update.inf. Assurez vous que le service de cryptographie est en cours d execution sur cet ordinateur." alors que le service de Cryptographie et le service RPC sont bien démarrés...)
 
J'ai bien sur lancé FixBlast.exe de Norton avant de tenter l'installe du patch...  
 
     

J'avais lancé une question au milieu de ce topic : pourquoi ne pas désactiver le service RPC pour un utilisateur lambda ?
 
C'est ce que j'avais fait à l'install de Windows, ça ne m'a jamais manqué, et ça m'a épargné le virus.
 
A quoi ce service sert-il vraiment ?