Welchia_ICMP_Scan

elbachirad -  
 Le catalan -
Salut tout le monde
Dulqu'un a-t-il une idée sur Welchia_ICMP_Scan. Norton Internet Security signale avoir empêché cette attaque. Ce que j'ai remarqué c'est que cette attaque a toujours lieu juste après ma connection et a toujour lieu du même pays qui est le mien (selon visual tracer de NIS).

15 réponses

  1. elbachirad Messages postés 176 Statut Membre 13
     
    Salut, j'ai essai Welchia removal: pas de virus. C'est un essai d'accès à mon PC par un système distant que mon NIS intercepte et bloque. Je voulais seulement savoir si quelqu'un avait idée sur ce "troyen"? et ce qu'il pouvait causer. Sur le site Symantec, pas d'information? Peut être un autre antivirus le décrit? Merci de votre réponse.
    0
  2. petitemarie
     
    Bonsoir,

    As-tu bien enlever ta restauration du système avant le removal tool ?

    sinon ça plante forcément...

    ///petitemarie
    la "faim" du message...
    0
  3. elbachirad
     
    Bonjour,
    J'ai désactivé la restauration mais FixWelch.exe ne trouve pas Welchia Worm sur la machine.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. petitemarie
     
    Bonjour,

    Va faire un scan en ligne sur www.secuser.com pis on verra...

    ///petitemarie
    la "faim" du message...
    0
  6. elbachirad
     
    Bonjour petitemarie et sorry pour le retard, c'est que l'analyse prend beaucoup de temps. Resultat pas de virus. Ne pensez vous pas à un essai d'attaque par troyen ?
    0
  7. Zorro
     
    Afin de suprimer ce message d'alerte ,veuillez suivre les instructions suivante ;

    1-Ouvrez Norton Internet Security.
    2-Cliquez sur " Detection d'intrusion" une fois et ensuite
    sur "Configurer"en bas à doite.
    ( Si vous ne voyez pas "configurer",cela signifie que vous n ê'tes pas
    connecter comme "Superviseur")
    3-Veuillez ensuite decocher l'option
    "me prevenir quand la Detection díntrusion bloque des connections".
    4-Cliquez sur OK.

    Et Voilà ! En principe vous ne verrez plus cette Alerte.
    0
  8. lego Messages postés 23 Statut Membre
     
    Je viens de recevoir la meme chose. mais ria rien a faire, alors il ivaut mieux oublier
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    si votre systeme la bloquer donc vous n est pas infecte
    par contre penser a faire vos mis a jour critique de windows
    0
  10. GARS
     
    J'ai eu aussi ce genre d'alerte par mon FIREWALL NORTON.
    Et j'ai découvert que cette alerte était apparue en même temps que l'installation du messenger YAHOO.
    Lorsque je fais taire le messenger au lancement et que je me connecte à l'internet, plus de problème.
    Heureusement qu'il ne s'agissait pas d'une réelle attaque par des méchants...hackers !!!
    Bonne soirée.
    0
    1. Alchimiste
       
      rebonsoir, je remercie tous ceux qui ont repondu a mon message, j'ai ete sur le site de symantec, j'ai fait un scan, welchia n'est pas detecte, par contre j'ai fait un fix avec Hijack, voila la liste affichee, est ce que quelqu'un peut me dire ce que je peux effacer et ce que je dois garder. Merci beacoup pour votre reponse.
      Logfile of HijackThis v1.97.7
      Scan saved at 23:04:58, on 08/05/04
      Platform: Windows 98 Gold (Win9x 4.10.1998)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\SYSTEM\KERNEL32.DLL
      C:\WINDOWS\SYSTEM\MSGSRV32.EXE
      C:\WINDOWS\SYSTEM\SPOOL32.EXE
      C:\WINDOWS\SYSTEM\MPREXE.EXE
      C:\WINDOWS\SYSTEM\MSTASK.EXE
      C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
      C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
      C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISUM.EXE
      C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE
      C:\WINDOWS\SYSTEM\mmtask.tsk
      C:\WINDOWS\EXPLORER.EXE
      C:\WINDOWS\TASKMON.EXE
      C:\WINDOWS\SYSTEM\SYSTRAY.EXE
      C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
      C:\WINDOWS\SYSTEM\DDHELP.EXE
      C:\WINDOWS\LOADQM.EXE
      C:\WINDOWS\SYSTEM\LVCOMS.EXE
      C:\WINDOWS\SYSTEM\STIMON.EXE
      C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
      C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
      C:\PROGRAM FILES\THE CLEANER\TCA.EXE
      C:\PROGRAM FILES\THE CLEANER\TCM.EXE
      C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
      C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
      C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
      C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
      C:\WINDOWS\SYSTEM\E_SICN03.EXE
      D:\FICHIERS.EXE\HIJACKTHIS.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
      O4 - HKLM\..\Run: [LoadQM] loadqm.exe
      O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
      O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
      O4 - HKLM\..\Run: [Flash32] c:\Program Files\Flash 32\Flash32.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
      O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
      O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE
      O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
      O4 - HKLM\..\Run: [tcactive] C:\PROGRAM FILES\THE CLEANER\tca.exe
      O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAM FILES\THE CLEANER\tcm.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
      O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
      O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
      O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
      O4 - HKLM\..\RunServices: [Nisum] C:\Program Files\Norton Personal Firewall\NISUM.EXE
      O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
      O4 - HKLM\..\RunServices: [nisserv] C:\Program Files\Norton Personal Firewall\NISSERV.EXE
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
      O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
      O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
      O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
      O9 - Extra button: Related (HKLM)
      O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
      O9 - Extra button: Real.com (HKLM)
      O9 - Extra button: Yahoo! Messenger (HKLM)
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
      O11 - Options group: [Accessibilité] Accessibilité
      O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38086.3700694444
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
      O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
      0
  11. Andre Chapalain
     
    J'ai également installé Yahoo Messenger hier et depuis j'ai également sans arrêt cette alerte Welchia_ICMP_Scan.

    Cela ne me gène pas outre mesure puisque Norton arrête ces intrusions permanentes.

    Mais quelqu'un sait-il à quoi cela correspond. Cela vient certainement de Yahoo Messenger, mais quel est le but ce ces tentatives d'intrusion dans mon "chez moi".

    Merci à "celui qui sait".
    0
  12. philou
     
    j'ai eu la même chose ca vient bien de yahoo messenger mais pourquoi ???
    0
  13. cat
     
    bonjour,
    j'ai également cette detection d'intrusion de welchia... dès que je me connecte à yahoo! intrusion par mon propre pc . IP attaquée msg.yahoo. Impossible d'arrêter cela! quant à décocher la detection d'intrusion, cela risque d'être un peu "dangereux" pour les véritables intrusions..
    Merci de m'aider à ne plus avoir ces avertissements incessants si vous avez une solution.
    0
  14. Le catalan
     
    Bonjour à tous,

    Si bien sur vous n'êtes pas infectés par le ver ....
    2 solutions :
    1. Soit vous déactivez le contrôle de la signature Welchia_ICMP_Scan dans NIS (pas conseillé),
    2. Soit vous déactivez da
    0
  15. Le catalan
     
    Bonjour à tous,

    Si bien sur vous n'êtes pas infectés par le ver ....
    2 solutions :
    1. Soit vous déactivez le contrôle de la signature Welchia_ICMP_Scan dans NIS (pas conseillé),
    2. Soit vous déactivez dans Yahoo l'option "Mettre en attente et attendre la connexion à internet"

    Pour mon cas j'ai choisi la solution 2 et je n'ai plus de remontée de tentative d'intrusion Welchia_ICMP_Scan par NIS.

    Bon courage

    Adiu tits.
    0