RPC : l'attaque est lancée
Fermé
Marmot
Messages postés
580
Statut
Membre
-
duborper -
duborper -
Faut croire que tous les script exploitant le bug RPC (NT4/W2k/XP) sont arrivés à maturité et ce sont propagés ces derniers jours. Autours de moi c'est l'hécatombe, ils tombent tous les uns après les autres :-)
Si votre ordinateur vous laisse une minute pour tous sauvegarder avant extinction, souriez, vous êtes hacké 8-)
Pour vous protégez : patch et firewall
http://groups.google.be/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&threadm=e%24Sqel8XDHA.1816%40TK2MSFTNGP09.phx.gbl&rnum=1&prev=/groups%3Fhl%3Dfr%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26q%3DRPC%26btnG%3DRecherche%2BGoogle%26meta%3Dgroup%253Dmicrosoft.public.fr.windowsxp.*
Si votre ordinateur vous laisse une minute pour tous sauvegarder avant extinction, souriez, vous êtes hacké 8-)
Pour vous protégez : patch et firewall
http://groups.google.be/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&threadm=e%24Sqel8XDHA.1816%40TK2MSFTNGP09.phx.gbl&rnum=1&prev=/groups%3Fhl%3Dfr%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26q%3DRPC%26btnG%3DRecherche%2BGoogle%26meta%3Dgroup%253Dmicrosoft.public.fr.windowsxp.*
A voir également:
- RPC : l'attaque est lancée
- Serveur rpc ✓ - Forum Réseau
- Realtek audio console impossible de se connecter au service rpc ✓ - Forum Windows
- Impossible de demarrer le service RPC ✓ - Forum Windows
- Impossible de se connecter au réseau RPC Realtek Audio Console - Forum Casque et écouteurs
- Realtek audio console ✓ - Forum Windows
21 réponses
Bonjour,
meme probleme
Cela dit voila des news de secuser :
"Lovsan est le premier virus ciblant les ordinateurs vulnérables à la faille RPC de Microsoft. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP puis scanne le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 15/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système. Ce virus pourrait causer d'importantes perturbations dans le fonctionnement d'Internet ces prochains jours, la mise à
jour des ordinateurs sous Windows NT, 2000 et XP est urgente et impérative.
http://www.secuser.com/alertes/2003/lovsan.htm
2. SYSTEME(S) CONCERNE(S)
Windows NT
Windows 2000
Windows XP
3. PREVENTION
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate pour corriger la faille RPC exploitée par le virus pour s'exécuter automatiquement.
http://www.secuser.com/communiques/2003/030717_winrpc.htm
http://www.secuser.com/outils/index.htm#windowsupdate
4. DESINFECTION
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.
http://www.secuser.com/alertes/2003/lovsan.htm#Desinfection
"
A ceux qui s'y connaissent certainement plus que moi, suivre ces recommandations est-il suffisant?
-clle-
meme probleme
Cela dit voila des news de secuser :
"Lovsan est le premier virus ciblant les ordinateurs vulnérables à la faille RPC de Microsoft. Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Lovsan l'infecte via le port 135 TCP puis scanne le réseau à la recherche de nouvelles machines vulnérables. Il est par ailleurs programmé pour lancer une attaque par déni de service contre le site WindowsUpdate à partir du 15/08/03, afin de tenter d'empêcher les retardataires de télécharger le correctif nécessaire à leur système. Ce virus pourrait causer d'importantes perturbations dans le fonctionnement d'Internet ces prochains jours, la mise à
jour des ordinateurs sous Windows NT, 2000 et XP est urgente et impérative.
http://www.secuser.com/alertes/2003/lovsan.htm
2. SYSTEME(S) CONCERNE(S)
Windows NT
Windows 2000
Windows XP
3. PREVENTION
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs de Windows doivent également mettre à jour leur système via le site de Microsoft ou le service WindowsUpdate pour corriger la faille RPC exploitée par le virus pour s'exécuter automatiquement.
http://www.secuser.com/communiques/2003/030717_winrpc.htm
http://www.secuser.com/outils/index.htm#windowsupdate
4. DESINFECTION
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.
http://www.secuser.com/alertes/2003/lovsan.htm#Desinfection
"
A ceux qui s'y connaissent certainement plus que moi, suivre ces recommandations est-il suffisant?
-clle-
je suis égalemnt victime du mm probleme
est ce que la solution précisée met fin a ce probleme ?
par avance merci
nicolas
est ce que la solution précisée met fin a ce probleme ?
par avance merci
nicolas
Si c'est un cheval de troie, logiquement, il faut passer un coup de spybot pour le virer pour commencer ...
:-)
:-)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour,
j'ai eu le meme pb, j'ai fait windows update et maintenant c bon. Mais j voudrai savoir maintenant comment le viré de mon systeme. Plus haut Patrice pcz parlait de passer un coup de spybot pour le virer mais qu'es qu'un spybot ?
merci
j'ai eu le meme pb, j'ai fait windows update et maintenant c bon. Mais j voudrai savoir maintenant comment le viré de mon systeme. Plus haut Patrice pcz parlait de passer un coup de spybot pour le virer mais qu'es qu'un spybot ?
merci
Salut -wil
J'ai parlé de spybot suite a une hypothèse de cheval de troie ce qui n'est pas finalement le cas pour ce virus.
Spybot est un freeware bien pratique qui permet de nettoyer cheval de troie et pleins de petits espions que tu peux récupérer sans le savoir en naviguant sur le web.
plus d'infos là : http://spybot.eon.net.au/index.php?lang=fr&page=news
Il y a deux liens en haut de la page .
On l'a répété sans s'en lasser : pour la navigation Internet surtout ADSL avec connection permanente, le minimum, c'est Antivirus à jour + parefeu (Sygate, ZA..) + logicile de nettoyage (Spybot, Adware6...)
La preuve avec lovsan : le pare feu le bloque en attendant de patcher l'usine à gaz microsoft...
L'amitié est une âme qui vit dans deux corps. (Aristote)
:-)
J'ai parlé de spybot suite a une hypothèse de cheval de troie ce qui n'est pas finalement le cas pour ce virus.
Spybot est un freeware bien pratique qui permet de nettoyer cheval de troie et pleins de petits espions que tu peux récupérer sans le savoir en naviguant sur le web.
plus d'infos là : http://spybot.eon.net.au/index.php?lang=fr&page=news
Il y a deux liens en haut de la page .
On l'a répété sans s'en lasser : pour la navigation Internet surtout ADSL avec connection permanente, le minimum, c'est Antivirus à jour + parefeu (Sygate, ZA..) + logicile de nettoyage (Spybot, Adware6...)
La preuve avec lovsan : le pare feu le bloque en attendant de patcher l'usine à gaz microsoft...
L'amitié est une âme qui vit dans deux corps. (Aristote)
:-)
Symantec a sorti un fix pour ce vers cliquez ici ->http://securityresponse.symantec.com/avcenter/FixBlast.exe
ok bon je vois que le gros bill est vraiment a la rue, comme le bouche ;)
bref donc je suis hacké mais le pire c que je n'ai plus la possibilité de créer de nouvelle connection internet
et des le demarrage de winxp, au bout de deux minutes j'ai
"pour finir d'installer, vous devez redemarrer !"
bref ça tourne en blouc lol et pas possibilité d'avoir l'assistant de connexion réseau ?
bye, kelle galere qu en meme
bref donc je suis hacké mais le pire c que je n'ai plus la possibilité de créer de nouvelle connection internet
et des le demarrage de winxp, au bout de deux minutes j'ai
"pour finir d'installer, vous devez redemarrer !"
bref ça tourne en blouc lol et pas possibilité d'avoir l'assistant de connexion réseau ?
bye, kelle galere qu en meme
je croyais que j'avais révé en voyant des choses bizarres se produirent pendant que le PC était infecté.
-copié/collé inactif sur certain textes
-les liens pour DL le patch sont tous bons sauf ceux qui m'interressent(Win XP) qui ne fonctionnent pas
-pendant le DL(après avoir rusé, relancé le naviguo)il m'ouvre une fenetrer cette application doit se terminer machin mazchin....", laissez cette fenetre ouverte, le DL se terminera normalement!
Vous avez eu droit a quoi vous?
-copié/collé inactif sur certain textes
-les liens pour DL le patch sont tous bons sauf ceux qui m'interressent(Win XP) qui ne fonctionnent pas
-pendant le DL(après avoir rusé, relancé le naviguo)il m'ouvre une fenetrer cette application doit se terminer machin mazchin....", laissez cette fenetre ouverte, le DL se terminera normalement!
Vous avez eu droit a quoi vous?
pareille pour moi ... glisser/deplacer de la souris ne fonctionnant plus lien internet vide plus de driver graveur plus de conection internet (g reinstaller xp a l'arrach sur un autre dd) kelkun pourrai me dire komen fo faire pour reinstaller xp pro par dessu xp pro ??? g la fleme de tout reinstaller . y'a pa une otre solution ke formater ? g plu non plu de restoration systeme .... en fait g vu ke la plupar des services administrateurs avé eté aretés ... je peu pa les redemarés il me di "erreur 1080" ou "aucun peripherique actif ne lui est attribue". il fo ke je reinstall vite je ne supporte plu ...
Salut,
Je voulais vous parler de ces infos comme quoi le vers ferai des dégàts au niveau matériel.Est ce que c'est possible et est que c'est déjà arrivé auparavant? >merci
Je voulais vous parler de ces infos comme quoi le vers ferai des dégàts au niveau matériel.Est ce que c'est possible et est que c'est déjà arrivé auparavant? >merci
- Installer le patch Microsoft sur :
http://download.microsoft.com/download/d/7/9/d79802a1-909a-4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe
- Verifier si "msblast.exe" est présent dans la liste de processus (faire CTRL+ALT+Supp, se rendre dans l'onglet processus).
- S'il est présent le sélectionné et faire "terminer le processus".
- Vérifier la présence du fichier msblast.exe dans le répertoire "/windows/system 32" et le supprimer.
- Le supprimer du cache de Windows (dans le répertoire /windows/prefetch).
- Penser également, dans Windows XP à le supprimer des points de sauvegarde (C:\System Volume Information\)
- Lancez Regedit (démarrer, exécuter, tapez regedit) et se rendre dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run) et supprimer la clé "windows auto update=msblast.exe".
Le méchant ver devrait normalement être éradiqué de votre machine !
http://download.microsoft.com/download/d/7/9/d79802a1-909a-4806-8bfc-43254bd0cd8c/WindowsXP-KB823980-x86-FRA.exe
- Verifier si "msblast.exe" est présent dans la liste de processus (faire CTRL+ALT+Supp, se rendre dans l'onglet processus).
- S'il est présent le sélectionné et faire "terminer le processus".
- Vérifier la présence du fichier msblast.exe dans le répertoire "/windows/system 32" et le supprimer.
- Le supprimer du cache de Windows (dans le répertoire /windows/prefetch).
- Penser également, dans Windows XP à le supprimer des points de sauvegarde (C:\System Volume Information\)
- Lancez Regedit (démarrer, exécuter, tapez regedit) et se rendre dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run) et supprimer la clé "windows auto update=msblast.exe".
Le méchant ver devrait normalement être éradiqué de votre machine !
Merci moh mais en fait je n'ai pas de problème vis à vis de ce virus ,
c'est juste qu'il y en a sur le forum qui ont l'air de penser que le vers pourrait faire des dégàts matériels (bousillage de graveur ) :
http://www.commentcamarche.net/forum/affich-371684
et en fait je suis quasi-sur que c'est impossible donc je voulais demander si un vers/virus/trojan pouvait provoquer un dégàt matériel ( pour être sur ) et si quelqu'un avait vu un exemple dans le passé ...
EnTEr the Dragon
c'est juste qu'il y en a sur le forum qui ont l'air de penser que le vers pourrait faire des dégàts matériels (bousillage de graveur ) :
http://www.commentcamarche.net/forum/affich-371684
et en fait je suis quasi-sur que c'est impossible donc je voulais demander si un vers/virus/trojan pouvait provoquer un dégàt matériel ( pour être sur ) et si quelqu'un avait vu un exemple dans le passé ...
EnTEr the Dragon
pour repondre a ta question OUI un virus peut endommager le materiel..
cependant il est dirigé vers un modele precis.
par exemple j'ai deja vu un virus effectuer des "crash-test" sur les tetes de lecture de certains diesque durs..
mais cela n'est valable que pour un type et modele de matériel bien precis, donc c'est assez rare (il faudrait un virus pour chaque modele de disque dur... par exemple)
Mais oui c'est possible.
.O Sauvez Mary, mangez Chouba
(_)__... Castor
cependant il est dirigé vers un modele precis.
par exemple j'ai deja vu un virus effectuer des "crash-test" sur les tetes de lecture de certains diesque durs..
mais cela n'est valable que pour un type et modele de matériel bien precis, donc c'est assez rare (il faudrait un virus pour chaque modele de disque dur... par exemple)
Mais oui c'est possible.
.O Sauvez Mary, mangez Chouba
(_)__... Castor
Bonjour,
CASTOR tu as oublié ou méconnu le virus PARITY BOOT, ou le AUSSIE 01, ou bien le WHISPER.
PARITY BOOT était un virus dormant stocké sur les disquettes d'install de certains jeux, ces disquettes contenait un perçage en un point précis, le check state ne trouvant pas ce perçage ne dévalidé pas le virus, il se chargeait en RAM et écrasait systématiquement tous les fichiers présents sur le disque dur, puis tronquait le bootdisk (et ce quel que soit le modéle de celui-ci), il utilisait pour celà une fabrication d'une firme, inconnue alors CENTRAL POINT SOFTWARE, célébre maintenant sous un autre nom SYMANTEC, ce fichier était un petit exécutable du nom de WIPEINFO.EXE. Idem pour le whisper, qui lui était lié au sizer de la disquette d'install.
Le AUSSIE 01, lui faisait de l'overclocking bus et CPU (tous modèles), jusqu'au plantage complet de tous le matériel présent (surchauffe), c'est d'ailleurs des virus comme celui-ci qui on forcé les pouvoirs publics à modérer les élans des éditeurs de logiciels en interdisant la destruction de bien privés (en principe quoi que...).
CASTOR tu as oublié ou méconnu le virus PARITY BOOT, ou le AUSSIE 01, ou bien le WHISPER.
PARITY BOOT était un virus dormant stocké sur les disquettes d'install de certains jeux, ces disquettes contenait un perçage en un point précis, le check state ne trouvant pas ce perçage ne dévalidé pas le virus, il se chargeait en RAM et écrasait systématiquement tous les fichiers présents sur le disque dur, puis tronquait le bootdisk (et ce quel que soit le modéle de celui-ci), il utilisait pour celà une fabrication d'une firme, inconnue alors CENTRAL POINT SOFTWARE, célébre maintenant sous un autre nom SYMANTEC, ce fichier était un petit exécutable du nom de WIPEINFO.EXE. Idem pour le whisper, qui lui était lié au sizer de la disquette d'install.
Le AUSSIE 01, lui faisait de l'overclocking bus et CPU (tous modèles), jusqu'au plantage complet de tous le matériel présent (surchauffe), c'est d'ailleurs des virus comme celui-ci qui on forcé les pouvoirs publics à modérer les élans des éditeurs de logiciels en interdisant la destruction de bien privés (en principe quoi que...).
salut,
j'ai essayé ce ke tu as dit, mais je ne trouve msblast.exe null part, pourtant je suis infecté par se virus, car je recois des messages qui me l'indique et ca fait redemarrer mon ordinateur tout le temps.
je suis sous windows XP pro, j'ai meme telcharger le Patch XP, mais le ver m'empeche de lancer le progamme, donc j'ai essayer de l'executer a partir de son emplacement sur explorer mais c'est le meme proble le ver l'empeche de s'executer.
Si quelqu'un connait une solution, aidez moui SVP.
Merci d'avance
j'ai essayé ce ke tu as dit, mais je ne trouve msblast.exe null part, pourtant je suis infecté par se virus, car je recois des messages qui me l'indique et ca fait redemarrer mon ordinateur tout le temps.
je suis sous windows XP pro, j'ai meme telcharger le Patch XP, mais le ver m'empeche de lancer le progamme, donc j'ai essayer de l'executer a partir de son emplacement sur explorer mais c'est le meme proble le ver l'empeche de s'executer.
Si quelqu'un connait une solution, aidez moui SVP.
Merci d'avance
MErci kaled si tu pensai à la réponse qu'on m'a faite
[ps:je ne suis pas parigo malgrè mon mail:j'avais pas le choix]
EnTEr the Dragon
[ps:je ne suis pas parigo malgrè mon mail:j'avais pas le choix]
EnTEr the Dragon
SAlut,
pour la maj windows 2000 c'est par la >
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&familyid=c8b8a846-f541-4c15-8c9f-220354449117
bon courage.
pour la maj windows 2000 c'est par la >
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&familyid=c8b8a846-f541-4c15-8c9f-220354449117
bon courage.
Salut
G hérité de ce satané virus, trop de joie, Ceydric g lu ta solution mais g pas tout suivi alors peux tu me reéxpliké, tu tape "shutdown -a" juste comme sa toi parce que moi cela ne marche pas
Merci d'avance
G hérité de ce satané virus, trop de joie, Ceydric g lu ta solution mais g pas tout suivi alors peux tu me reéxpliké, tu tape "shutdown -a" juste comme sa toi parce que moi cela ne marche pas
Merci d'avance
Salut,
Mon truc ça marche sur XP mais peut être sur d'autres systèmes aussi, je sais pas j'ai pas essayé.
Shutdown -a te permet d'arrêter le processus d'arrêt de l'ordinateur.
Or, c'est justement ce que provoque le virus, en bidouillant au niveau "RPC" il entraîne la fermeture de windows au bout de quelques temps de surf sur internet.
Pour empêcher cette fermeture la seule solution que j'ai trouvé c'est de taper "shutdown -a" dans une fenêtre dos.
Voilà comment je m'y suis pris :
Avant de lancé ma connexion à internet j'ouvre une fenêtre dos.
Je tape "shutdown -a" MAIS JE NE VALIDE PAS (en effet si tu valide shutdown -a alors que le processus d'arrêt n'est pas lancé alors ça ne marche pas). JE NE FERME PAS LA FENETRE DOS MAIS JE RETOURNE SUR LE BUREAU DE XP.
Je lance ensuite ma connexion internet.
Je surf environ 3-4 minutes et j'ai une fenêtre qui s'affiche et qui me dit qu'il y a des problèmes avec "RPC" et qu'il me reste 10 secondes pour enregistrer mes documents avant le redémarrage de windows.
C'est à ce moment que je retourne sur ma fenêtre dos ou est déjà tapé "shutdown -a" (ce qui me fait gagner du temps parce que 10 seconde ça passe vite) et là je valide, ce qui arrête le processus d'arrêt.
Tu peux alors continuer à surfer MAIS LE VIRUS EST TOUJOURS LA, il te faut donc t'en débarrasser, et pour ça tout est expliquer par des mecs bien plus balaises que moi dans les messages précédents, mais comme maintenant tu peux surfer tu a tout le temps de lire ces messages, de télécharger les anti-virus, les correctifs etc etc...
Mon truc ça marche sur XP mais peut être sur d'autres systèmes aussi, je sais pas j'ai pas essayé.
Shutdown -a te permet d'arrêter le processus d'arrêt de l'ordinateur.
Or, c'est justement ce que provoque le virus, en bidouillant au niveau "RPC" il entraîne la fermeture de windows au bout de quelques temps de surf sur internet.
Pour empêcher cette fermeture la seule solution que j'ai trouvé c'est de taper "shutdown -a" dans une fenêtre dos.
Voilà comment je m'y suis pris :
Avant de lancé ma connexion à internet j'ouvre une fenêtre dos.
Je tape "shutdown -a" MAIS JE NE VALIDE PAS (en effet si tu valide shutdown -a alors que le processus d'arrêt n'est pas lancé alors ça ne marche pas). JE NE FERME PAS LA FENETRE DOS MAIS JE RETOURNE SUR LE BUREAU DE XP.
Je lance ensuite ma connexion internet.
Je surf environ 3-4 minutes et j'ai une fenêtre qui s'affiche et qui me dit qu'il y a des problèmes avec "RPC" et qu'il me reste 10 secondes pour enregistrer mes documents avant le redémarrage de windows.
C'est à ce moment que je retourne sur ma fenêtre dos ou est déjà tapé "shutdown -a" (ce qui me fait gagner du temps parce que 10 seconde ça passe vite) et là je valide, ce qui arrête le processus d'arrêt.
Tu peux alors continuer à surfer MAIS LE VIRUS EST TOUJOURS LA, il te faut donc t'en débarrasser, et pour ça tout est expliquer par des mecs bien plus balaises que moi dans les messages précédents, mais comme maintenant tu peux surfer tu a tout le temps de lire ces messages, de télécharger les anti-virus, les correctifs etc etc...
Bonjour,
confi xp
mm probleme, sauf que le virus est inexistant dans la liste après ctrl/alt/sup, de + refus de de connection internet , avez vous la liste des noms de ce ver, retardé l'horloge permet d'avoir le temps , mais l'installer d'un anti virus via cd rom est il éfficace ?
merci
confi xp
mm probleme, sauf que le virus est inexistant dans la liste après ctrl/alt/sup, de + refus de de connection internet , avez vous la liste des noms de ce ver, retardé l'horloge permet d'avoir le temps , mais l'installer d'un anti virus via cd rom est il éfficace ?
merci
Faut surtout que tu récupère l'exe qui te permet de flinguer le vers puis après tu fait ta mise à jour.
A la limite te prend pas la tête avec internet, va chez un pote avec une disquette récupère l'exe et lance le chez toi, fait pareille avec la mise à jour de windows et basta après tu devrait avoir la paix.
Moi je sais qu'il y des variantes du virus mais je me suis pas penché sur la question
A la limite te prend pas la tête avec internet, va chez un pote avec une disquette récupère l'exe et lance le chez toi, fait pareille avec la mise à jour de windows et basta après tu devrait avoir la paix.
Moi je sais qu'il y des variantes du virus mais je me suis pas penché sur la question
je viens d'etre touché, j'ai tout essayé dont blastsfx qui ne trouve rien, je l'ai chercher avec ses differents noms, j'ai essayé d'installer la mise a jour spécifique elle commence à s'installer mais elle a l'air de s'arreter, j'ai effectué le teste de microsoft des pc a risque mais il se coupe, norton ne peut pas se lancer...
j'ai installé AVG version d'essai il ne trouve rien.
Tout cela sur mes 2 pc avec Xp pro en réseau et se satané virus revient ...
j'ai installé AVG version d'essai il ne trouve rien.
Tout cela sur mes 2 pc avec Xp pro en réseau et se satané virus revient ...
je comprends pas là... normalement tu te débarasse du vers puis tu fais la mise à jour, mais évidemment tout ça en arrêtant pour le moment ta connexion internet... dans ton cas je ferais une copie de sauvegarde des trucs important et je formaterai parceque ce que tu décris ça ressemble à quelquechose de différent que le seul blaster, enfin je pense... tiens nous au courant...
