ça sent le virus blaster ça.
passe ton antivirus, ou s’il n’est pas à jour fait le en ligne avec www.secuser.com
si c’est le cas regarde ceci extrait du net:
MAJ du 23/01/04
Repérer et supprimer le virus Blaster, ses variantes et autres
Depuis son apparition au mois dAoût 2003, le virus Blaster (ou Lovesan) a fait couler beaucoup dencre. A lorigine propagé sous forme dune seule et même variante, de nouvelles formes nont pas tardé à envahir le net. Plus difficiles à détecter et à éradiquer, elles font régulièrement des dégâts chez les utilisateurs non protégés ou sur les réinstallations fraîches non patchées. Dans tous les cas, la désinfection, le nettoyage puis la protection est possible sans recourir à un formatage.
Symptômes dune infection par Blaster ou assimilés
Le virus original provoquait un plantage du service RPC lors de son intrusion dans le système, plantage qui se traduisait en pratique par lapparition dune fenêtre de fermeture administrative et du départ dun décompte de 60 secondes avant arrêt. Le virus désactivait aussi la fonction de copier-coller et certaines pages devenaient inaccessibles sous Internet Explorer.
Les quelques variantes qui ont suivies napportaient rien de nouveau, si ce nest que le nom du fichier hôte sur le système changeait (teekids, mslaugh32, etc.).
Plus récemment, de nouvelles variantes plus vicieuses ont fait leur apparition. Dune part, leur nom est plus ou moins aléatoire et imite le nom dun processus système, voire même utilise le même nom mais en se chargeant depuis un emplacement différent. Certaines variantes démarrent même sous forme de service, faisant gonfler une instance de svchost, le programme système Windows assurant lexécution des services. Dautre part, ils neutralisent une longue liste doutils pouvant vous permettre de neutraliser le virus puis vous protéger, à commencer par les correctifs WindowsUpdate, les antivirus les plus connus, ou encore Regedit.
Dans la pratique, le désagrément le plus notable est une montée de lusage processeur à 100% en permanence ou presque, ce qui rend le poste inutilisable.
Détecter le virus
Le virus sexécute depuis un fichier individuel ou sous forme de service. Le fichier infecté se trouve dans presque tous les cas dans les programmes lancés au démarrage ou dans les services Windows. Dans la quête du fichier infecté, nous allons nous servire de Tasklist qui est un outil intégré dans Windows XP Pro affichant la liste des processus lancés en mémoire ainsi que le nom des services se cachant derrière les hôtes génériques svchost.
Notes :
-
Tasklist nest pas distribué avec Windows XP édition familiale. Vous pouvez le télécharger ici : http://www.computerhope.com/download/winxp/tasklist.exe
-
Sous Windows 2000, lalternative à tasklist se nomme tlist, que vous trouverez dans le kit de ressources présent sur le CD dinstallation (SUPPORT/TOOLS/2000RKST.CAB).
Lancez un invite de commandes depuis le menu démarrer, Exécuter, « cmd » puis à linvite, tapez « tasklist /svc » ou « tlist s » selon que vous soyez respectivement sous Windows XP ou Windows 2000…
La commande « tasklist /svc » génère un retour de ce type :
Nom de l’image PID Services
========================= ====== ===========================================
System Idle Process 0 N/D
System 4 N/D
SMSS.EXE 484 N/D
CSRSS.EXE 540 N/D
WINLOGON.EXE 572 N/D
SERVICES.EXE 616 Eventlog, PlugPlay
LSASS.EXE 628 PolicyAgent, ProtectedStorage, SamSs
SVCHOST.EXE 792 RpcSs
SVCHOST.EXE 816 AudioSrv, Browser, CryptSvc, Dhcp,dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasAuto, RasMan, Schedule, seclogon,
SENS, ShellHWDetection, srservice, TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, WmdmPmSp, wuauserv,WZCSVC
SVCHOST.EXE 952 Dnscache
SVCHOST.EXE 976 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
WebClient
SCVHOST.EXE 1014
SPOOLSV.EXE 1080 Spooler
ADSL Autoconnect.exe 1992 ADSLAutoconnect
GSICON.EXE 1376 N/D
DSLAGENT.EXE 1304 N/D
MMTRAY.EXE 1236 N/D
EXPLORER.EXE 224 N/D
iexplore.exe 3196 N/D
cmd.exe 4072 N/D
tasklist.exe 1496 N/D
wmiprvse.exe 3180 N/D
Soit la liste de tous les programmes en cours dexécution au moment du lancement de la commande. Notez, dans la colonne Services, le nom des différents services hébergés par les instances du processus système Microsoft Windows SVCHOST (SerViCes HOST Hôte de services).
Déterminer quel est le service ou le programme malin nest pas toujours létape la plus facile. Le déguisement des processus est souvent relativement grossier, le fichier infecté portant un nom comme scvhost.exe, svdhost.exe, explorer32.exe, explore.exe, proche de celui dun exécutable Windows existant.
Pour les services, vous pouvez rechercher avec Google en tapant «Windows service <nom_du_service>» des informations sur ceux qui peuvent paraître louche. Si aucun résultat nindique que le processus est système ou lié à une application classique, il pourra être suspecté.
Si aucun service et programme ne semble suspect, il ne faut pas oublier que le fichier infecté porte parfois le même nom quun exécutable Windows. Celui-ci se charge alors depuis un autre répertoire que le répertoire usuel, par exemple system32 au lieu de system, et inversement.
Le très bon logiciel HijackThis est une bonne alternative à tasklist, qui va nous offrir les chemins de chaque programme lancé au démarrage. Il est disponible sur le site http://www.tomcoyote.org/hjt/
Lancez le, appuyez sur le bouton scan, puis observez la liste retournée. Les programmes lancés au démarrage sont visibles dans les lignes débutant par « 04 HKLM…\Run: ». Faites une recherche, éventuellement ligne après ligne, des fichiers avec leur chemin sur Google ou sur http://www.sysinfo.org/startuplist.php pour déterminer sil sagit dun fichier utile ou non.
En cas de découverte dun processus malsain, quelques outils seront nécessaires pour le supprimer. Vous pourrez utiliser HijackThis ou StartupCPL, disponible ici : http://www.mlin.net/files/StartupCPL.zip
En prévision de la désinfection
Une fois le nettoyage réalisé en mode sans échec, il faudra se protéger afin de ne plus être lobjet de nouvelles infections par des variantes de Blaster. Pour ceci, il vous faudra installer quelques correctifs avant de vous reconnecter à Internet. Débranchez donc physiquement votre modem avant den avoir fini avec les mises à jour.
Mises à jour pour Windows XP :
-> KB826939 <-
-> KB823182 <-
-> KB824141 <-
-> KB825119 <-
-> KB828035 <-
-> KB828028 <- nouveau (10/02/2004)
Mises à jour pour Windows 2000 (SP2 ou + nécessaire)
-> KB823980 <-
-> KB824146 <-
-> KB828749 <-
-> KB828028 <- nouveau (10/02/2004)
Suppression du virus
Une fois le fichier identifié et les correctifs adaptés en votre possession, redémarrer le poste, appuyez sur F8 au moment du démarrage de lOS (juste avant laffichage de la barre blanche), puis choisissez «Mode sans échec»
Pour un processus :
Une fois parvenu sur le bureau, utilisez HijackThis ou StartupCPL pour supprimer le fichier du lancement de la machine.
Avec HijackThis : cliquez sur « scan », cochez la case de la ligne correspondant au fichier infecté, puis cliquez sur « Fix this »
Avec StartupCPL, installé dans le panneau de configuration (icône Startup) : parcourez les onglets jusqu’à trouver le fichier infecté, décochez le.
Recherchez ensuite le fichier depuis la racine du disque et supprimez le.
Pour un service :
Lancez léditeur de base de registre depuis le menu démarrer, Exécuter, regedit. Recherchez le nom du service malin. Ces recherches devraient vous mener dans les arborescences suivantes :
HKLM\SOFTWARE\SYSTEM\ControlSet001\Services\
HKLM\SOFTWARE\SYSTEM\ControlSet002\Services\
Repérez le nom du fichier associé au service indiqué dans la variable «ImagePath», et supprimez les fichiers référencés. Supprimez ensuite toutes les entrées correspondant au service malin dans ControlSet001 et 002.
Une fois le nettoyage effectué, débranchez physiquement votre modem, redémarrez normalement, et contrôlez labsence de symptômes. Installez ensuite les correctifs, redémarrez à nouveau, puis rebranchez votre modem.
Pour supprimer les résidus ou certains virus plus communs
Rien de tel quun bon antivirus en ligne ou un outil dédié :
Stinger de MacAfee
CLRAV de Kaspersky
L’antivirus en ligne sur http://housecall.antivirus.com
Ne plus être ennuyé par les tentatives dintrusion directes (Blaster et variantes)
Vous utilisez une connexion câble ou ADSL ? rien de mieux quun bon routeur ou modem routeur matériel afin den finir avec ce genre de désagréments
