Reprise du message précédent :

 
si c'est mon adresse IP sur les 3  ; et comme je commençais à m'en douter , ces trois process SYSTEM qui se font jour à l'occasion d'une connexion internet, sont normaux (ce que dit zed69) ; et donc le fait d'etre sur les ports 137,138, 139 est probablement normal aussi
 
ensuite pour répondre à ta question, Kerio t'indique l'origine , le path complet, d'un hit vers les ports surveillés ( bloqués sans ton acceptation) ; 135/445 , ici = acces Systeme ; donc je vois bien que ça vient majoritairement de proxad , soit Free ; en fait de bécanes infectées, et connectées sur les DSLAM de Free ; mais ça vient de partout aussi ; US, Europe, des émirats j'ai meme vu !
 
EDIT : je comprends pourquoi tu t'interroges tant que ça..
 
c'est parceque j'ai écrit cela plus haut:
 
>sinon oui (en noir) ce sont mes IP Free ; et ce sont les "méchants"  
 
c'est faux ; je croyais que c'était le vers qui s'ouvrait cette connexion *via mon IP Free*  
 

pour répondre à une des questions, par exemple sasser version G :
* Has an updated routine for finding vulnerable computers. W32.Sasser.G sends an ICMP echo request before attempting to make a connection.  

dc tu passes à coté de maj de sécu importantes...

 
nod32 nouveau ??? je le connais depuis qq temps qd meme !!
il est mille fois plus léger que nav par exemple

les ports 137 -> 139 ne sont pas utiles pour ta connexion internet... c'est pour le rpc... ferme les vite !

 
ben oui mais quand meme il faut du code pour faire tout ça ! donc comment ensuite le vers peut il se rendre invisible , indétectable ?  

 
ha ben Zed69 dit l'inverse !
 
et de fait je vois bien que , ayant booté en débranchant le modem, puis le branchantensuite , la connexion internet se met en place en lançant ces process SYSTEM
 
dans le cas ou c'est un process System normal , pas de pb, par contre si comme tu le dis c'est "pas normal" , que c'est donc le vers qui s'ouvre ces ports , à l'occasion de la connexion reseau, c'est tout autre chose...
 
là faudrait savoir (?) entre vous deux ...

 
t'en es sur ?
 
parceque alors ça correspond bien à ce que si passe :
 
"Remote Procedure Call (RPC)", initiated by NT Authority\System error message that shuts down Windows
 
et donc ça pointe le MS Blaster ; il est bien connu ; comment pourrait il echapper encore aux antivirus ? ou alors j'ai raté un patch  
 
pourtant MS.Blaster j'ai fait ; quasi sur

sous Kerio 2.1.5 j'interdit tout sauf ce que j'ai défini et les seules règles concernant 137-139 c'est  
 

 

Normalement,  netbios n'est pas utilisé pour la communication Internet (c'est le nom d'hote qui est propre au protocole TCP/IP), mais depuis Win2K, le nom netbios et le nom d'hote sont les même.  
C'est donc sur les ports NetBios que s'effectue de nombreuses attaques externes.  
 
Je fais un copier/coller d'un post décrivant ces ports:  
 
 
NETBIOS Name Service (NS port 137) : resolution de noms netbios = correspondance entre les noms d'hotes sur le reseau et les adresses IP  
   
NETBIOS Datagram Service (DG port UDP 138) : ce port est essentiellement utilisé pour diffuser (broadcast) de l'information sur le réseau. En principe, seul le protocole UDP est utilisé sur ce port. Fonctionne en mode déconnecté.  
   
NETBIOS Session Service (SS port TCP 139): c'est sur ce port que s'établissent les véritables connexions entre deux machines. C'est par exemple celui qui sera utilisé, lorsque tu veux accèder à une machine par le voisinage réseau, pour accéder à ses ressources (partages de fichiers et d'imprimantes).  

 
OK merci donc ça va bien dans le sens de shaker114 ; faut bloquer
 
pour Kerio j'ai juste la trado française du manuel , mais si t'as un lien complet de tout ce qu'il faut (bien) faire , une check list quoi, ça m'interesse bien    
 
là j'en ai un peu marre , je vais mettre le SP2 plutot que de verifier si y'a toutes les rustines  ça va etre dur pour la RAM mais tant pis
 
par contre , c'est pas ça qui va me virer le vers !!  qu'est ce qui va lui arriver ? il va etre inactif ou toujours potentiellement actif ? ça m'emm.. d'upgrader une bécane infectée pour simplement masquer les effets du verolage !! on marche sur la tete ....

 
ha , je craque ! y'a pas un guide for dummies qui (me) dise ce qu'il faut faire , au plus complet (et au plus simple à suivre !) pour tous ces ports ; et en plus si ça illustre Kerio ce serait meme farpait

bah je peux te passer en MP un topic en élaboration sur le paramétrage de Kério si tu veux..
 
sinon pour blaster tu semble avoir mis les patchs donc plus de soucis.. (tu peux surfer aussi sans patchs.. ce que je fais). Pour le SP2, c'est à toi de voir.. y a deux écoles sur HFR

je te recherche ça pour Kerio, mais je te promets rien dans l'immédiat, tu peux demander en t'excusant de ne pas avoir le temps de tout lire sur le topic unique (voire en disant que Minipouss est trop feignant )
 
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0

ah ah je t'ai retrouvé ça dans mes favoris
 
http://blueduck.free.fr/informatiq [...] rales.html

 
ha oui volontiers
 
à toi de voir si , selon sa forme actuelle, tu peux me l'envoyer en MP hfr ou bien si il y a déjà pas mal de screen ,etc.., et donc plutot m'envoyer un mail+ fichier attachement ...sans virus hein
 
c'est un tres bonne idée ça
 
pour le SP2 , moi j'ai pas eu d'emmerdes ; la seule chose que j'ai vue c'est quand meme un systeme qui commence à peser ; sur une bécane 'classique' à 512Mo + pross un peu rapide ,  ça va , mais là sur ce petit Compaq Celeron 533 c'est pas du tout l'idéal...
 
par contre , ça resout pas le (mon) bleme ; je vais pas "masquer" un vers...par un patch ; faut que je le trouve quand meme  

 
ha...21 pages    
 
bon je vais lire tout ça ; et merci aussi pour le lien canard bleu , c'est pas toi par hasard ?  

non minipouss mais pas canard bleu

 
merci d'y penser ; mais en fait j'ai pas ça :
 
>W32/Agobot-FG se copie dans le dossier système Windows sous le nom EXPLORED.EXE et crée, pour s'exécuter au redémarrage du système, des entrées dans le registre aux emplacements suivants :
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
 
et ce vpc32.exe que je n'ai vu qu'une fois , ce jour, je l'ai tué illico ; enfin ....
 
par contre selon les editeurs d'antivirus, ces souches Blaster ont des noms différents ; et la liste des processus viraux gerée par les Blaster est effectivement impressionnante !! au nb desquels , vpc32.exe donc
 
oui j'ai tres certainement une souche Blaster que je n'arrive, elle , pas à tuer ; seuls quelques processus viraux se font choper ; maigre butin...

bon, faut pas s'emmerder dans la vie, mais faut faire les choses correctement au moins une fois
 
1. tu bloques d'office avec kerio les ports TCP/UDP 123,135,137,138,139,389,445,500,5000 comme ça tu seras plus rilax à l'avenir
2. tu te déco/reco, voire tu rebootes (car la modif de kerio n'est pas prise en compte pour les connections déjà ouvertes)
3. tu passes une dernière fois les antiblast, antisasser et un scan de kaspersky et d'adware
4. si daubes trouvées tu rebootes sinon pas la peine
5. je te conseille de passer au min les updates de sécurité de windows, mais ce n'est pas indispensable à ce niveau
6. si tjrs problème, ben c'est tout simplement un service qui buggue. tu ouvres alors l'observateur d'évènement et tu regarde ce qui plante et tu crée un autre topic plus adapté    
 
bye bon courage    

ok alors autant pour moi  
si les fix blaser et sasser n'on pas marché...
tu devrais commencer par par mettre a jour toutes les failles de securité winXP jusqu'au SP2 (ne mets pas le SP2 pour le moment)
 
effectivement RAS dans tes process. RAS sur hijack this
 
il faut savoir que certain virus/vers s'attaque specifiquement a des becanes equipé de certains Firewall/antivirus
 
j'en ai fais les frais avec blackice Firewall. j'ai viré cette saleté car en fait c t le Firewall lui meme qui etait infecté. et l'antivirus ne peut pas scanné les Fichier verouiller du reprtoire d'install de ton firewall ou ne scanne pas les fichier verouiller de WINXP
 
seul une maj winXP peut modifier et retablir les fichier verolé et verouillé de winXP
seul un patch et /ou la desinstallation d'un firewall peut eliminé un fichier verolé et verouillé
 
de nombreux virus utilise les port 135/445
toi c'est peut etre agabot ou un de ses derivés  
http://www.secuser.com/alertes/2003/gaobot.htm
 
 
essaye ca http://www.secuser.com/telechargem [...] htm#Gaobot
 
ce que tu vois comme connexion a des dizaine d'ip differente c'est la tentative depuis ta machine d'infecté d'autre internaute. personne viens sur ta machine ou tu le vois pas si tu as un backdoor et si ton firewall et ou antivirus a été altéré ce qui est surement le cas
 
ce qu'il faut faire: demarré ta becane
desactivé TES FIREWALL/ANTIVIRUS ET LANCER INTERNET
la tu fais un print Des running process par control+alt+suppr et seulement la tu auras la listes des process "anormaux"
ton firewall actif empeche le process anormal de ce declencher
le running process anormal se lance que si la connexion au port 135/445 est possible
 
ou alors t'as viré une partie du virus mais reste la faille XP qui est tjrs exploité et ca c'est lsass.exe qui est exploité a ton insu==> donc maj XP obligatoire
 
bon courage  
je cherche je cherche

 
pnar
 
oui, bonne remarque.. sais-tu dans quelles conditions exactement ?
car par exemple: sur ue connection ouverte (activation de la connexion) et requête sur un http dont j'avais fermé un port, et si je modifie une règle ou en créee une pour ouvrir ce port  et je fais "appliquer", et bien j'accéderais immédiatement à la page.. donc Kerio agit bien en temps réel sur un port et inversement en faisant "appliquer".. mais paradoxalement, j'ai remarqué qu'en cas de première connexion sur un réseau (ici c'était wifi) il conservait la connexion même si je changeais les règles DNS.. c'est pourquoi si t'avais plus de précisions la-dessus
 

Pour les ip vers US/EMIRAT etc..; c'est ton PC qui cherche a infecté d'autres internautes connecté de part le monde  
 
TU CONTRIBUE A LA DISTRIBUTION DU VIRUS lol  
 
de toute facon la premiere etape pour une solution serait de telecharcher les correctif jusqu'au SP2 (mais pas forcement le SP2) eventuellement d'une autre becane
 
la t'as pas le choix. c'est le debut de ta solution
LE DEBUT DE TA SOLUTION
 
 
tu peux pas voir si lsass.exe est infecté==> c'est une faille systeme
 
d'autre part desactive la restauration systeme, souvent les virus vont la dedans et les antivirus scan pas ces fichiers car ils sont verouillé par XP
 
peut etre as-tu eliminé aussi une partie du virus mais la faille subsiste
 
sinon je viens de voir un truc interessant
ouvre ton repertoire windows, dans le dossier System32 si un fichier est verolé, via une derivé de sasser il se duplique sous des noms différents tres vite: soit disant faciles à reperer : "xxx".exe , pas signés, et une date de création totalement différente des fichiers OS

je ne sais pas si cela a à voir avec ton problème mais par exemple le dernier Korgo annoncé par symantec aujourd'hui utilise (comme toute la famille) le port 445 et la faille LSASS. Mais il ne se trouve pas dans les clés RUN.
Jette un oeil dessus pour avoir des idées

ah ouais joli minipouss
signalement 11 octobre 2004 donc tout bo tout neuf donc peut etre que les antivirus sont pas encore a jour héhé
et pas de run !! ca expliquerait les running process normaux et en RAS!!
 
surement c'est ca

bah je sais pas, on va voir

bon ben déjà un grand MERCI à TOUS    
 
en fait y'a deux aspects :  
 
1)puis-je désormais "recuperer" cette bécane sans un upgrade Systeme ? je le crois plus    
 
je quote juste Zed69 :
 
>>seul une maj winXP peut modifier et retablir les fichier verolé et verouillé de winXP  
 
>>ou alors t'as viré une partie du virus mais reste la faille XP qui est tjrs exploité et ca c'est lsass.exe qui est exploité a ton insu==> donc maj XP obligatoire
 
>>tu peux pas voir si lsass.exe est infecté==> c'est une faille systeme  
 
en clair , si je pige bien, si le Systeme lui meme est vérolé , (et pas simplement quelques fichiers qui trainent bien visibles dans le dossier Systeme32 ) , ben c'est foutu en gros  
 
2) second aspect : bien se proteger une fois passé SP2 (et donc une mise à jour majeure du Systeme qui redevient normalement clean) ; et là oui en ce moment je potasse dur les tomiks sur Kerio  
 
reste quand meme un troisieme aspect...
 
3) ce que dit Zed69 :
 
>>ce que tu vois comme connexion a des dizaine d'ip differente c'est la tentative depuis ta machine d'infecté d'autre internaute. personne viens sur ta machine ou tu le vois pas si tu as un backdoor et si ton firewall et ou antivirus a été altéré ce qui est surement le cas  
 
>>Pour les ip vers US/EMIRAT etc..; c'est ton PC qui cherche a infecté d'autres internautes connecté de part le monde  
 
>>TU CONTRIBUE A LA DISTRIBUTION DU VIRUS lol  
 
nan, ce sont toutes des requetes *rentrantes* vers *mon* System , via mes ports 135/145 ;
 
c'est bien cela que j'aimerais aussi comprendre ; comment ça fonctionne ; dois-je comprendre que mon IP Free traine un peu partout dans des bécanes infectées , comme un cible permanente ?  ce schéma en somme d'un virus qui , en local , cas par cas, disposerait d'une base d'IP me laisse perplexe   ; ce serait sans fin et ça finirait par faire un GROS fichier, alors facile à localiser    
 
allez un quatrieme petit aspect    
 
4) peut on se satisfaire de cohabiter avec une bécane infectée , mais dont via un firewall notamment, on neutalise son action ; je le crois pas ; et c'est là tout MON bleme ..
 
again merci à tous  
 
 

>> point 1 et point 2
si c'est un virus majeur, il y aura des fix et mise a jour antivirus bientot donc t'inquiete pas
par contre si c'est un virus qui touche 100 personnes dans le mondes comme ca existe ben la tu peux te brosser lol
(j'ai un pote il a chopé un virus ... lol ca lui ouvre une grosse image de boule au demarrage mais violente l'image et apres quand il ouvre internet explorer ca lui ouvre plein de pop up de cul sans arret)
 
on a tout esssayé. rien a faire. TOUT MAIS TOUT
c'est un virus isolé rare dont les antivirus ce foutent royalement de faire des parades (donc reinstall systeme oblige)
on a bien trouvé des fichiers douteux et verolé mais rien a faire
 
>> pour le point 3°)
si vraiment tu es piraté tu verra pas ce gros fichier. tu verras juste que de la place te manque sur ton DD (genre t'as 120Gig de DD, 100 gig utilisé par toi, et 20 go libre. mais dans les 100gig 40 Go le sont a ton insu) c'est un espace qui t'es masqué par les pirates et qui leur sert de stockage, technique couramment utilisé par les hacker de gors PC entreprise a grosses connexion
seules solutions: Formatage et reinstall
 
mais ta bande passant en prendrait un mechant coup si tel etait le cas
 
>> point 4: non clairement. moi ce ferait longtemps si g t dans l'impasse que j'aurais tout fais PT vite fais lol

et puis tu sais, la technique des sasser et blaster et autre, c'est tout bon pour microsoft en fait car tout ceux qui ont pas une version avec clé CD valide de XP, ben y sont grillé car les maj sont impossibles
l'image en prends un coup, mais commercialement c'est bon pour eux alors qui sait d'ou viennent ces virus...
 
qui connais mieux les failles XP que microsoft eux meme?
 
ils sortent un correctifs d'une faille. apres boom y'a un virus qui utilise cette faille qui sort.. comme par hasard.. et tout ceux qui ont pas la maj donc en general pas une bonne clé CD ben sont griller
la majorité de la pop y connait rien en PC
vous me suivez? c'est un bon moyen de lutte anti pirate quelque part

j'ai toujours du mal à saisir l'interet que trouvent les concepteurs de virus à ce qu'ils font...  

D'où l'existence et l'intérêt de l'heuristique ... C'est pas référencé tel quel mais la méthode d'action est 'louche' (faisceau de présomption)

bon, pas pour me vanter, mais je suis ingé système et réseau, je connais pas mal le sujet suivant :
les ports pour rpc et netbios ferme les vite, tu ne les utilise certainement pas !
rpc : remote procedure call : surtout le monde unix en fait
netbios : le "voisinage réseau windows" : si tu n'as qu'un pc chez toi ferme ces ports, et désactive le protocole...
 
 
edit : commance par fermer tt les ports sur les requetes entrantes, laisse sortir ce que tu veux (ça suppose que tu n'as pas de merdes déjà installées)

ben meme apres SP2 , ça continue...  
 
c'est toujours la meme chose : des requetes rentrantes vers le System de la machine ;  
 
voila une alerte typique :

 
et , en surveillant, tout ce qui pourrait sortir , y'a RIEN ! donc c'est pas machine qui initie cela , c'est bien des qu'elle débarque sur le net qu'elle est immédiatement "ciblée"
 
alors bien sur le firewall fait son boulot , mais ça me convient pas ; je veux piger ce qui se passe
 
surtout que y'a pil-poil juste 'du nouveau' ; ça cherche aussi à attaquer ailleurs :
 

 
ras le bol...
 
pourtant le SP2 a bel et bien updaté (entre autre) le fichier lsass.exe , donc s'il était vérolé , il ne devrait plus l'etre  
 
reformatage complet ? mrd...surtout si c'est pas LA solution ; je veux dire...et si ça continue apres !!!

je pige plus rien là
 
ce qui te gêne c'est d'être une "cible" pour des attaques? si je regarde mon log de Kerio ça n'arrête pas, évidemment dès que tu es sur le net tu as une IP et elle peut être "attaquée" c'est à dire qu'il y a des pc (gentils ou pas, ie FAI ou Hackers pour faire simple) qui scannent des intervalles d'adresse régulièrement.  
 
Il y a aussi tout bêtement les gens qui font du P2P, si ils étaient connecté chez un gars pour récupérer un fichier et que ce gars a éteint son pc ben leur pc à eux continue de tester la connexion avec l'IP et tu as peut-être récupéré cette IP sur ton PC.
 
je viens de regarder mon log et depuis début octobre c'est sur le 135 (Blaster et plein d'autres) occupé par svchost que je m'en prend plein la gueule. Mais cela ne veut pas dire que MON pc a un problème sur svchost.exe . Cela veut dire que plein de gars partout sont infectés et que leur pc tente de propager leur virus.
 
Dernière chose, je trouve bizarre que alg.exe tourne sur ton pc. C'est bien le processus du firewall XP ça? Donc tu as deux firewalls? Il parait (à tort ou à raison je ne sais pas) que c'est pas top comme idée

bon ça me "rassure" d'un coté mais c'est pas simple de l'autre...
 
je veux dire que 'avant' j'étais pas l'objet de tout cela ; c'est quand meme récent    
 
et surtout y'a eu l'épisode du shutdown de la machine qui est normalement associé à un virus résident sur ma bécane
 
P2P ?  j'en fais pas  
 
>>Cela veut dire que plein de gars partout sont infectés et que leur pc tente de propager leur virus.
 
bon OK si c'est l'explication  
 
>>Dernière chose, je trouve bizarre que alg.exe tourne sur ton pc. C'est bien le processus du firewall XP ça? Donc tu as deux firewalls? Il parait (à tort ou à raison je ne sais pas) que c'est pas top comme idée
 
oui et non ; y'a le firewall de XP mais il est désactivé ( et il me le bulle assez souvent du reste !), mais seul Kerio tourne

si alg ne tourne pas comment peut-il avoir un port local sur lequel un truc essaye de rentrer? bizarre.
 
je suis d'accord avec toi qu'au départ c'était le shutdown, mais si ça ne le refait pas c'est que ce problème là est parti

 
1) ça je sais pas !?
 
2) ha que non que j'en suis pas sur ; pour cela il faudrait que j'accepte de tourner sans firewall et voir ce qui se passe
 
je crois que je vais le faire , tant ça m'emm... de mettre cette bécane , en l'état, dans un petit reseau
 
mais l'ennui , c'est que elle peut , dans la foulée, etre aussi illico l'objet d'attaques qui vont peut etre occulter le shutdown ; bref ajouter de nouveaux ennuis sans m'etre assuré de l'éradication du premier !

c'est même sûr si tu la mets sans firewall elle va s'en prendre plein la tronche

 
ben oui, mais bon jusque assez recemment je fonctionnais sans firewall, sans ennuis , constatables au moins  
 
ça a fini par arriver bien sur ; néanmoins j'ai une bécane isolée qui fonctionne simplement sous SP2 et y'a pas de bleme , firewall XP actif ou non ;
 
c'est quand meme dingue d'etre obligé de devoir désormais sortir en armure
 
enfin, et je me repete,  c'est d'etre assuré que ce petit Compaq est clean,  que le(les) virus précédent(s) qui provoquait le shutdown est bien éradiqué ; ou bien est-il toujours potentiellement actif , pourrait etre réveillé en somme , des lors qu'il n'y aurait plus de firewall ?  (ceci toujours relativement à sa mise dans le reseau local )

ça peut aussi être un trojan qui écoute sur un domaine icq pour recevoir des commandes, et c'est pourquoi le firewall le protège en l'empêchant de recevoir des ordres de son proprio. Why not.
 
pour cela faudrait le remettre sans firewall bloquant mais avec un logiciel qui surveille juste ce qui se passe. comme ça tu verras bien