Xp Pro et Autorité NT

par **jotad** » 15 Oct 2003 11:14

Salut à tous, Petit pb avac un pc tout récent (XP pro). Même symptome que MSBlast (pas trouvé avec l'outil de Symantec) ni SobigF. Norton plante au démarrage ... le souk koi. Impossible d'identifier le virus. Qqn a t-il des infos ? Merci d'avance.

par **mozo** » 15 Oct 2003 12:07

Bjr, As-tu essayé de désinstaller Norton. Que disent les processus et les journaux de l'observateur d'événements?

par **Fredish** » 15 Oct 2003 13:14

As-tu patché xp? En fait, bizarrement ce vers, meme s'il ne reussi pas à rentrer provoque cette erreur. Es-tu connecté quand ca t'arrive? Le moyen d'eviter cela: bloquer les ports concerné avec un firewall ou desactiver completement les ports. Si ca n'a rien à voir avec Blaster, là je sais pas.

par **jotad** » 15 Oct 2003 13:27

Au démarrage de XP Pro : -> Message d'alerte Norton : "Certains paramètres de produit Symantec ont été modifiés par un programme non autorisé. Il se peut qu'un attanquant ou un virus essaie de désactiver la protection". [ à qui le dites vous ! ] Lorsque j'essaie de désinstaller Norton (par le panneau de config ou l'uninstall de Norton dans la partie prog) : -> Message d'alerte Windowz : "Impossible d'accéder au service Windows Installer. Ceci peut se produire si vous éxécutez Windowz en mode sans échec". -> je suis loggué en mode normal et administrateur. Même topo en mode sans échec. Pour les évènements. Je viens de vider le journal et de rebooter le système. Je jette un oeil dessus. Ca ressemble étrangement à Blaster mais le trouver : scan compklet du disk pour trouver msblast*.* ou teekids*.* ou penis32*.* ... mais nada. A ++

par **jotad** » 15 Oct 2003 13:31

Le journal d'évènement est peu accessible: (X) source -> EventSystem et Userenu (!) source -> EvenSystem Impossible d'éditer les évènements. J'ai réussi à désactiver Norton et à installer Antivirus Personal Edition. Un scan complet en mode sans échec ne trouve rien (mode admin et utilisateur). Je vais tenter de me reconnecter en mode F8 et de passer un service pack (si ça marche). Je prends toute les infos qui trainent. A +

par **Fredish** » 15 Oct 2003 13:39

Il doit y avoir un petit probleme. Mais de toute facon Norton fout le souk, comme tu dis. Essaye de desinstaller en dos, si tu es resté en fat32. Peut-etre que des fichiers norton ont reellement été modifié, va savoir; auquel cas, si tu as la possibilité de scanner ton disque sur un autre systeme(en tant que disque sup). Sinon, je sais pas.

par **Fesch** » 15 Oct 2003 13:51

Essaye de booter sur un CD Knppicilin

par **mozo** » 15 Oct 2003 13:59

Que tu subisses une attaque virale avérée ou non, lorsque tels que tu le décris Windows devient instable au possible, une seule soution pour moi, et je l'ai déjà citée et mise en pratique : Nettoyage [Eradication, partitionnement, formatage], réinstallation. Si tu as pris la précaution de ne pas laisser tes oeufs dans le même panier, ça ne devrait pas poser de problème.

par **jotad** » 15 Oct 2003 14:02

... suite ... Je me suis loggué en admin et en mode F8. J'ai installé un patch microsoft -> WindowsXP-KB823980-x86-FRA.exe ... puis reboot de la machine en mode normal. Ca à l'air de rouler un peu mieux : - Désinstallation de Norton : OK - je suis en train de passer le SP1 XP Il n'y a plus le msg Windowz 'Autorité NT' et plus de reboot automatique du système. Je peux donc travailler en mode normal tranquillos. Tout cela ne me dit pas si virus il y a ou pas ... bizarre, bizzare. La table de définiton de mon antivirus date d'aujourd'hui. Je vous tiens au courant, si vous avez d'autres infos entre tremps .... je prends. Merci les grô <IMG SRC="images/smiles/icon_smile.gif">

par **jotad** » 15 Oct 2003 14:05

D'accord avec toi MOZO. Le pb c'est que c'est la machine d'un client [qui vient de se mettre sur l'ADSL (depuis 2 jours)]. Je l'avais pourtant prévenu (Màj antivirus, patch M$, firewall ...) mais bon soit. Je vais le re-faire comprendre de l'utilité de toutes ces choses.

par **Fredish** » 15 Oct 2003 14:14

Il a deja du voir la necessité de prendre des précautions maintenant. Ca calme tout de suite sur l'enthousiasme internetien ce genre de choses.

par **mozo** » 15 Oct 2003 15:11

Lorsque j'écris "ne pas mettre tes oeufs dans le même panier", j'insiste sur la nécessité de différencier os et documents. Jamais sur la même partition. Quant à l'utilisation par ton client du pc sur l'adsl, il n'y a pas trop de questions à se poser. L'affaire est claire. Vas faire un tour visiter les cookies et internet temporary files pour voir où il aurait pu choper cet éventuel virus. M'enfin, si c'est un client...

par **jotad** » 16 Oct 2003 07:59

Juste un 'petit' mot pour remercier tout le monde pour les pistes et les infos. J'ai - quand même - réussi à isoler cette cochonnerie de virus. Il s'agissait d'un vers 'Gaobot.S' qui me collait un processus actif -> LSAS.exe Ce dernier, activé, bloquait l'ouverture de l'antivirus et du firewall (entre autre). C'est en installant ZoneAlarm que je m'en suis rendu compte (il ne se lançait pas au démarrage). De plus, 2 clés de la base de registre étaient vérolées : > HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun WindowsExplorer = LSAS.exe >HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices WindowsExplorer = LSAS.exe Si ça peut aider qqn ... tant mieux. Quant à mon client et bin il a reçu une jolie facture pour l'intervention et un beau sermon : faut arrêter de faire tout et n'importe quoi sur le net et faut les MISES A JOUR du système, de l'antivirus etc ... En tout merci encore. A + <IMG SRC="images/smiles/icon_bise.gif">

par **mozo** » 16 Oct 2003 08:12

Et notre pourcentage??? <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">

par **CrosII** » 27 Oct 2003 21:55

Essaie de voir si ce n'est pas une variante de Klez <IMG SRC="images/smiles/icon_eek.gif"> Klez essaie de desactiver l'antivirus sur la machine attacké ou de modifier son systeme de detection.

Xp Pro et Autorité NT

Qui est en ligne ?