Virus inconnu

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

Virus inconnu

Messagepar Bwark » 18 Avr 2004 00:20

Deja salut a tous ,

voici mon premier post sur ce forum et voici un historique de ce qui m'est arrivé

J'ai 3 ordinateurs / aucun en reseau , je suis sous xp home et pro

1-premier pc relié au net infecté : je l'ai laissé aux soins d'un admin reseau que je connais , il m'a dit c'est la faute au p2p(emule) jusque ici je veut bien le croire.

2-je relie mon deuxieme pc au net et je me retrouve infecté , cette fois sans p2p juste avec du surf
le pc part sous mon bureau et y est encore.......

3- avant de relier mon 3 eme pc au net je commence a prendre garde , j'installe le dernier service pack1 pour xp + f-secure anti virus 2004 + f-secure firewall2004 en mode reglage : Protection Maximum , ensuite je bloque tout mes port , je surfe pendant quelques heures sur des sites NON sensibles (Cad pas de warez/$%#&! et autres guinoleries du genre)
et la paf je me remange un virus
Le pc est desormais tellement infecté que je ne peut enumerer la liste du nombre de virus , trojans que j'ai sur le pc
j'ai eu entre autre : nachi / trojandownloader et ses variantes /mydoom/bagle , sans parler de ceux qui ne sont pas reconnus , je n'ai plus aucun service suspect qui se lancent dans la base de registre. le virus aurait t'il infecté des fichier systemes de demarrage ?
je pensait avoir reussi a le desinfecter (cela fait plus d'un moi que je passe 2 a 4 heures par jour sur les 3 pc ) Mais l'ordi est toujours mort

Avant que vous ne repondiez a cette question , sachez que j'ai quand meme une bonne conaissance du monde des virus . donc s'il vous plait ne me donnez pas de liens pour des sites que je connais deja du genre trojan remover ou norton virusinfector2004

j'ai tout testé en mode sans echec et normal et tout les antivirus possibles : toujours rien a faire
(j'ai testé entre autre Avg / avast / kaspersky / norton / mcaffee / pc-cilin /F-secure et surrement d'autres moins connus que j'oublie )

Que faire ? (sachant que le format c: est impossible vu le nombre de données de travail que j'ai et que je ne peut pas les perdres , sachant aussi que je ne peut les graver car elle font biens plus que la taille d'un cd.
(je travaille en animation 3d et j'utilise des fichier Avi de tres haute qualitée )

Merci d'avance , si vous n'y conaissez rien en virus ne repondez pas a ce message , je n'ai pas de temps a perdre avec des gens qui pensent faire partie d'une communauté tout simplement en repondant bettement a un sujet auquel il n'y conaissent rien (c'est ce que j'ai pus remarquer sur certains posts , j'ai bien dit "certains" et non pas Tous ;) )
Bwark
Matelot
Matelot
 
Messages: 10
Inscrit le: 17 Avr 2004 23:52

Messagepar Ghostrider » 18 Avr 2004 00:35

Vu les probabilités de voir plusieurs dizaines de virus faire le guet dans l'attente de ta connexion pour prendre d'assaut tes machines, je te proposerai comme idée à creuser :

- Quelles sont les personnes ayant accès à tes bécanes (physiquement)
- Te connais tu des ennemis ou du moins quelqu'un qui semble te vouloir du bien

Car en dehors de ça je vois pas trop, à ma connaissance bagle et autres joyeusetés n'ont pas été programmés pour te tracker sur le net.

PS : je ne pense pas qu'il soit necessaire d'être "spécialiste" en virus pour tenter de trouver une solution à ton problème. Donc je pense que tu devrais éviter les "commentaires" du genre "si tu n'y connais rien va voir ailleurs" afin de ne pas décourager le gars qui sans être une tronche en informatique et autre virus aura été confronté au même problème que toi et aura trouvé une solution.

PS 2 : pour la sauvegarde des données essayes plusieurs CD ou un DVD (par archive segmentée par exemple) en faisant attention aux virus eventuellement sauvegardés lors de la restauration.

PS 3 : Ne prends pas mal mon commentaire c'est pour la bonne cause :D

Cordialement
Les hommes viennent de Mars, les femmes de Vénus, les ordinateurs de l'enfer...
Avatar de l’utilisateur
Ghostrider
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 186
Inscrit le: 02 Avr 2002 00:00
Localisation: neuf cube

Messagepar Bwark » 18 Avr 2004 00:46

Merci de ta reponse

je pensait aussi a cela mais n'ayant pas d'ip fixe je ne vois pas comment je suis traceable a ce point
en tout cas il est sur que ce n'est pas l'action d'une seule personne malveillante
il se pourrait que le virus que j'ai fasse comme un des precedents : q'il se connecte a irc et donne sur un channel de discution l'ip exploitable du mec.

Merci pour la prise de concience il est vrai que les debutant peuvent toujours en savoir plus
mais c'etais une preaution pour evitter de peter un plomb avec des imbeciles qui te proposent d'esailler un autre anti virus ou les anti virus en ligne : ca c'est deja fait :P
je cherche evidamment une autre solution que les anti virus connus puisq'il sont inneficaces envers ce ou ces virus.
Bwark
Matelot
Matelot
 
Messages: 10
Inscrit le: 17 Avr 2004 23:52

SUggestion...

Messagepar fdejaigher » 18 Avr 2004 02:19

Passe à Linux ;)

Je plaisante, ne prend pas la mouche :p

Il y a quelques temps j'ai aussi été victime d'un virus inconnu, j'en cause sur ce forum ici
Je suis quasi certain que son apparition remonte au jour où j'ai testé différents logiciels de P2P comme eMule (pour finallement adopter Shareaza)

Concernant ton pb tes machines sont-elles reliées en réseau entre-elles ? Routeur ?

Je me souviens d'un virus marrant qui utilisait le spool imprimante pour se propager :lol:

Il est vrai que dans ce genre d e situation on devient vite parano :shock:
Avatar de l’utilisateur
fdejaigher
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Avr 2004 20:33

Messagepar Bwark » 18 Avr 2004 03:08

Les Machines n'etaient pas reliés entre elles (au depard)

Desormais je n'ai plus que 2 pc

1 mort Proc a 100%

1Presque mort qui sert de paserelle reseau et qui se ramasse toute les merdes trojandownloader et ses variantes encore inconnues de ces chers copains kasper norton maca et avg et je ne parle pas du reste

1 vivant tout neuf : celui que l'admin reseau ma retapé et qui est desormais relié au pc verolé mais seulement en partage de flux de connection. pour pouvoir aller sur le net et ne pas se prendre les cochonerries en pleine tete .

non je n'ai pas de routeur ,
par contre j'ai un modem speed touch usb pour adsl qui selont certain dires aurait un exploit possible
(du moins d'apres un admin rezo qui semble s'y connaitre )

quand a linux je ne le prend pas mal car je pense de plus en plus a mettre mon pc relié au net sous linux et le relier en reseau aux autres :)
Bwark
Matelot
Matelot
 
Messages: 10
Inscrit le: 17 Avr 2004 23:52

Messagepar KYRX » 18 Avr 2004 05:30

Que faire ? (sachant que le format c: est impossible vu le nombre de données de travail que j'ai et que je ne peut pas les perdres , sachant aussi que je ne peut les graver car elle font biens plus que la taille d'un cd.
(je travaille en animation 3d et j'utilise des fichier Avi de tres haute qualitée )


J'ai eu quelques deboires avec les fichiers avi sur xp.
Va voir http://forums.ixus.net/viewtopic.php?t=14683

Sinon tu peux aller voir direct ici: http://www.tssi2003.net/modules/news/index.php?storytopic=0&start=5
KYRX
Matelot
Matelot
 
Messages: 6
Inscrit le: 05 Avr 2004 05:28

Messagepar Bwark » 18 Avr 2004 06:07

Mais lol quand on me dit que je devrais la fermer parceque je dit aux incompetants et ceux qui ne savent pas lire de ne pas repondre
or la c'est flagrant le gentil monsieur qui a voulu m'aider a lus entre les lignes et me donne une solution qui n'a rien avoir avec mon probleme et je viens de perde 10 minutes a lire son explication et les adresses fournies

@KYRX : LE PROBLEME NE VIENT PAS DES AVI APPREND A LIRE ..... je disait juste que je voulait pas formater car j'ai des Avi trop gros pour etre GRAVER.


@Ghostrider : tu comprend mieu poursuoi je prevenais au debut de mon post : "debutants s'abstenir"
Bwark
Matelot
Matelot
 
Messages: 10
Inscrit le: 17 Avr 2004 23:52

Messagepar braouazou » 18 Avr 2004 08:53

:evil: Je ferai comme si je n'avais pas vu ton dernier post, je mettrai ça sur le compte de l'heure tardive, sans ça je ne prendrais pas la peine de te répondre! Moi, je vais perdre 10 minutes à t'écrire, comme ceux qui ont essayé de t'aider avant, sans rien en retour, sans doute même pas un merci de ta part. Essaye un support technique payant si tu n'es pas content! :evil:

Bref, revenons au problème!
Dans le post précédent, celui qui t' fait perdre ton temps, il t'est conseillé de passer tes machines avec adware ou autre produit anti-spy. L'as-tu fait?

Il t'a également été conseillé de sauvegarder tes données sur CD ou DVD, et, à mon avis, même s'il te faut 15
DVD, il faut passser par là, si c'est aussi important que tu le dis!
Sinon, monte un nouveau disque dur, et sauvegarde tes données importantes en les passant d'abord à l'antivirus (je sais, tu dis qu'ils ne sont pas efficaces, mais il vaut mieux prendre un maximum de précaution!
Une fois les données sauvegardées, réinstalle proprement un système, et reteste les sauvegardes à l'AV!

Je ne vois pas d'autes solutions, quant aux explications de ce qu'il t'arrive, no idea, mais je te conseille d'installer Snort (et oui, sous Windows aussi: http://www.snort.org/dl/binaries/win32/) qui te permettra peut être d'en savoir plus; il s'agit d'un détecteur d'intrusion largement éprouvé (attention, il te reportera seulement les tentatives d'attaques ou autres scans, mais peut être cela t'aidera-t-il à comprendre....)
Dernière édition par braouazou le 18 Avr 2004 10:33, édité 3 fois au total.
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

Messagepar swapfiles » 18 Avr 2004 10:22

'lut.

Quand tu as connecté tes 3 pc au net....es-tu allé sur les mêmes sites que précedemment???

Une simple visite de page web permet ( merci IE) de se faire $%#&! par un virus par la suite.

@++
je lui ais dis que tu m'avais dis qu'il s'était dit qu'on lui dirait!!!
Avatar de l’utilisateur
swapfiles
Vice-Amiral
Vice-Amiral
 
Messages: 791
Inscrit le: 16 Mai 2003 00:00
Localisation: Bordeaux

Messagepar svart » 18 Avr 2004 11:38

Répondons poliment à ton post, à la limite de la courtoisie, mais bon, admettons que la situation soit énervante et qu'à force tu "pètes un câble" comme ton intutilé le dit si joliment.

Quelques points :

- Swapfiles fait une judicieuse remarque. Je t'encourages à utiliser Firefox par exemple (www.mozilla.org) pour écarter la (re)infection par une faille de windows IE.

- Nachi se propage notamment par la faille RPC de windows. Bien que expert dans le domaine des virus informatiques, tu sembles avoir négligé quelques précautions dans la protection préalable de tes ordis.

Voici ce que je ferais à ta place :

- Je monterais le disque dur du PC 1 (celui qui rame à 100% de CPU) sur la machine fiable, sur laquelle j'aurais préalablement installé un antivirus bien à jour. J'utilise pour ma part fréquemment Antivir. Je scannerais ce disque dur pour en éliminer tous les virus, puis pour récuperer toutes les données importantes (en faisant attention toutefois aux AVI car certains contiennent des liens lesquels peuvent discrètement dowloader une cochonnerie via IE).

- Je reinstallerais ce PC N° 1 bien proprement avec une distribution de passerelle sécurisé, genre IPCOP ou MNF. C'est pas plus difficile à faire qu'un windows, et tu hausseras d'un cran la sécurité de ton réseau. Je remplacerais le PC N°2 (passerelle infecté, c-a-d passoire), par cette distribution qui te permettra en outre de surveiller finement les flux entrants et sortants.

- Ensuite, je réitère l'opération avec le PC 2 devenu inutile (dans le cas où des données sont à sauver, sinon réinstalle direct).

Quelques réflexions :

* Ceci est une piste de travail que je propose, que l'on peut modifier, selon l'ordi où sont les données à recupérer et le temps que tu peux y consacrer.

* Je ne partirais pas du principe que le PC N°3 (le propre) soit véritablement nickel. Vu le souk sur ton reseau, il est probable que ta passerelle soit un relais d'infection. Esperons seulement qu'il l'est suffisamment pour dévéroler le PC N°1 - mais je le vérifierais bien une fois les autres terminés. Et j'en profiterais pour re-scanner les autres !

* Utiliser une passerelle sécurisée te permettra de créer une DMZ pour le futur, et y héberger une station P2P si tu le souhaite, pour concilier usage et sécurité.

* Fais une sauvegarde régulière de tes données, si tu ne peux pas sur CD, utilise une machine comme serveur de fichier (p. ex. SME - ou même un windows si tu y ajoute un firewall et de comptes restrictifs).

* Suis scrupuleusement les éditions de mises à jour d'AV et de Windows, par ex. via le site www.secuser.com.

* Aucune protection technique n'est efficace à 100%, et devient même illusoire - si tu fais une utilisation potentiellement dangereuse de Internet - si un virus est stocké quelques part sur un média de sauvegarde - si l'intrusion est interne et physiquement déclenchée - si quelqu'un te veut VRAIMENT du mal, par exemple parce que tu aurais été trop poli ...

Bon courage, et eventuellement tiens-nous informé.
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar fraedhrim » 18 Avr 2004 12:39

N'aurais-tu pas un mot de passe pour le compte administrateur (tor) du genre admin, administrateur, <vide>, test,.....

As-tu passé tous les windows update après l'install du SP1 (le SP1 ne contenait pas la correction pour Blaster par exemple) ?

Comme dit plus haut : es-tu sûr de que tes archives sont saines ? Tes supports amovibles (clé usb, cartes mémoires,...) ?

Te laves-tu toujours les mains avant d'utiliser ton ordi ?

As-tu désactivé le client Microsoft et le partage de fichiers/imprimantes sur ton interface Internet ?

Et sinon suis bien les recommandations du dernier post : une passerelle saine pour commencer.


PS : un peu de modérations dans tes propos. Casser du sucre sur les débutants quand on se fait infecter à 3 reprises sans rien comprendre............ Sans rancune.
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

.

Messagepar Slap » 18 Avr 2004 13:56

Salut à tous :)

PS : un peu de modérations dans tes propos. Casser du sucre sur les débutants quand on se fait infecter à 3 reprises sans rien comprendre............ Sans rancune. :-ooo:

en plus tu as un ami sois disant admin :roll: alors pourquoi tu viens faire des remarques de noob


juste une chose à rajouter car tout a été dit ..
tu as regardé tes process ?
Avatar de l’utilisateur
Slap
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 15 Mars 2004 01:00

Messagepar Bwark » 18 Avr 2004 17:30

Bonjour a tous ,

je sais tres bien comment j'ai eté infecté , surtout que je suis l'actualité quotidiennement sur eeye et securityfocus.
le seul probleme est que maintenant j'ai un virus inconnu qui lui m'envois d'autre virus inconnus....

mon manque de courtoisie provient du fait que l'on me conseille des Adaware et des spybot et antispyware alors que nous parlons bien evidament d'un MALWARE/VIRUS/WORM/
(et que bien evidamment je les avais deja esaillés)

j'ai l'impression que les gens ne savent pas lire.... ou ont la memoire courte

enfin bon on est pas la pour se prendre la tete

N'aurais-tu pas un mot de passe pour le compte administrateur (tor) du genre admin, administrateur, <vide>, test,.....

NON


"As-tu passé tous les windows update après l'install du SP1 (le SP1 ne contenait pas la correction pour Blaster par exemple) ? "


OUI

"As-tu désactivé le client Microsoft et le partage de fichiers/imprimantes sur ton interface Internet ?"

Encore heureux ;)


Je precise encore pour ceux qui aurais mal lu , que le dernier ordi qui a eté infecté eté relié au net avec toutes les mise a jour XP / IE et autre MAJ pour failles RPC et compagnie
q'il a F-secure mis a jour quotidienement et que l'ordi a un firewall qui bloque tout les ports...
et donc par consequent rien ne tournais si ce n'est windows

j'ai bien comparer mes run process avec la liste des process par default de windows et aucun n'est suspect. aucun n'alloue trop de memoire et rien de suspect au niveau des perfomances proc.

et que je n'ait fait aucun telechargement/consulation de mail


- trojandownloader.win32.realtens.b
- trojandownloader.win32.realtens.e

voila mes deux nouveaux copains choppé pendant la nuit , je ne trouve pas d'info dessus

je commence a vraiment tomber dans la paranaoia puisque tout les virus que je me suis mangé etaient a chaque fois detecté par les compagnies le lendemain ou le surlendemain

lol je doit servir de cobaye ;)


Je m'ecuse d'avoir casser du sucre sur le dos des noob , mais je n'en peut plus des gens qui te donnent des solutions qui n'ont rien avoir avec ton probleme meme si c'etais bien evidamment de bon coeur et dans le but de m'aider.(ceci ne cible q'une personne en particulier , celle qui m'explique comment ouvrir un avi a cause d'un bug windows alors que je cherche a graver des avi qui font plus de 1giga)

quand aux autres je vous remercie encore de vous etre penché sur mon probleme

La solution pour changer les disque dur et le scanner me semble la meilleure solution mais lep robleme c'est que l'ordi infecté est un portable :(
Bwark
Matelot
Matelot
 
Messages: 10
Inscrit le: 17 Avr 2004 23:52

Messagepar fraedhrim » 18 Avr 2004 17:50

Pour le PC 2 tu dis que tu ne faisais pas de p2p. Sur le 3 tu en fais ?

Tu dis que tu les a choppé de nuit. Que fait ton ordi la nuit ? p2p ?

Je cherche le vecteur.
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar fraedhrim » 18 Avr 2004 18:00

Bon il est fortement probable que tes infections viennent de ta passerelle par le réseau (partage windows, serveur RPC, que sais-je...).
La question est de savoir comment ta passerelle a choppé ça ....
Quel softs tournent sur ta passerelle ? Quel logiciel utilises-tu pour le partage ? Du windows classique ? Ou un routeur logiciel ?
Et sur la passerelle par rapport au mot de passe du compte admin ? Le compte invité est-il bien désactivé ? Pas de compte Microsoft genre passport .NET (comment il en vient un en standard de XP à l'install ?
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Suivant

Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron