probleme depuis intrusion

par **bobbysixkiller** » 04 Avr 2004 22:23

Ma configuration:
wanadoo comme fai, pc cillin comme pare-feu et antivirus, windows xp comme systeme(sans correctifs et non service packé, je m'en servait rarement pour aller sur internet)

Bonsoir a tous,
voila, j'ai eu une intrusion sur mon pc il y a 3 jours(pc personnel, non relie a un reseau a ce moment la); apres avoir coupe l'acces a internet, je ne pouvait plus ouvrir taskmgr et l'ouverture du gestionnaire de telechargement plantait mon naviguateur internet(ie et mozilla), mes disques durs avaient ete partagés...
J'ai isole ce dd, puis fait des scans en ligne et en reseau avec differents antivirus (pc cillin et inoculate) mais ils n'ont rien trouvés.
J'avait un 2eme dd sur la machine infectee qui me servait de sauvegarde, je l'ai formaté(format c: et fdisk /mbr), et installé un windows 2000.
Cependant, je remarque que maintenant, je subis un tres important nombre de scans de ports, et beaucoup d'attaques(certaines ip reviennent constament, sur plusieurs heures):mon pare feu m'alerte, en moyenne, 3 a 5 fois par minute, parfois beaucoup plus.
Voici donc mes questions:
Pensez vous qu'un virus ait pu subsiter malgres ce formatage, ou que le nombre d'attaques soit une coincidence?
J'ai beaucoup de données sur le dd infecté, quelqu'un aurait-il une idee pour que je puisse les recuperer sans prendre trop de risques?
Voila, j'espere donc que quelqu'un pourra un peu m'eclairer, toute idee est la bienvenue(jose plus me connecter), merci par avance.

ps:l'antivirus avait detecte welshia b et d 2 jours avant l'intrusion, mais le programme "dllhost.exe" (qui est apparament lance par welshia) continuait a tourner en tache de fond, et j'ai cherche ds le registre des cles qui pouvaient correspondre avec des virus qui correspondaient a mes symptomes sans rien trouve.

par **jibe** » 04 Avr 2004 23:03

Bon, je suis loin d'être expert en virus et j'espère que d'autres pourront t'aider.

En attendant, essaie Ad-aware. C'est un excellent et indispensable complément aux anti-virus.

par **micjack** » 04 Avr 2004 23:04

Salut,
Je ne pense pas que d'etre passé à Win2k arrange ton probleme.

Ton virus profite de la faille de M$ concernant aussi Msblast, tant que tu n'aura pas appliqué le patch les concernant tu serra toujour vulnerable.

N' oubli pas aussi qu'il existe un patch contre Opaserv qui corrige la faille des reseaux partagés, car ce virus utilise ta becane pour scruter à son tour les memes port ouverts sur le net, ports 137, 138, 139...

Donc! patch, patch... pour etre tranquil et prend un vrais antivirus :wink:

par **bobbysixkiller** » 04 Avr 2004 23:28

Merci de m'avoir repondu.
J'ai ad-aware que je fait regulierement tourner(avec spybot, hijackthis), mais ca n'a rien donné.
Sinon, j'ai patché mon w2000 directement apres l'installation(correctifs et services pack).
Petite question, pensez vous que l'intru ait pu exploiter une faille sans utiliser de trojan, et donc que je peut tranquillement restaurer mes données, ou bien qu'il y a forcement un virus et que l'intru ait pu modifier ses caracteristiques une fois a l'interieur de mon pc(cles de registre, nom,...), et donc ke je doit faire tres attention pour restaurer mes données?
Autre question, format c: et fdisk /mbr, c'est pas censé effacer ce qui pouvait rester sur le dd?(ou dois-je obligatoirement faire un formatage de bas niveau que je n'ai jamais fait?)
Enfin, il est pas bien pc-cillin? est-ce ke je ferai mieux d'installer mc affee 8.0?(je l'ai acheté ya 2 semaines pour rien).
Sur ce, merci encore.

par **Franck78** » 04 Avr 2004 23:50

Hello,

Un peu kamizaze hein? Le virus se cache n'importe
ou. Dans les docs, Dans les dll, dans les économiseurs
d'écran,....o
Regarde la description exacte du virus, (perte de temps
à mon avis, ce qu'il fait, facon de faire.

Le mieux: graver les documents.
Effacer tout.
Système frais, scanner les docs avec antivirus
à jour.

Bye

par **Fredish** » 04 Avr 2004 23:55

Il est préférable de réecrire sur les données. "format :c /c/u" est suffisant en général.

par **micjack** » 05 Avr 2004 00:10

Concernant le "format c: /u " en inconditionnel reste valable effectivement sur les virus de l' an pebre qui se cachent dans la zone d' ammorce du disque, mais je ne pense pas que se soit sont cas, mais l' info n' est pas à negliger.

Si non il reste un formatage bas niveau, mais bon :wink:

par **micjack** » 05 Avr 2004 01:02

J' oubliais un truc au passage, il est possible aussi de nettoyer le deuxieme secteur du disque afin d' eviter le formatage tout en virant les virus :wink:

Par exemple:

Avec "diskedit" de Norton sous dos, il est possible d' editer le disque en physique, certains (vieux) virus se nichent en general ici, cette partie est en generale reservée pour un complement de bios au boot, comme un "disque menagement", donc cela reste un bel emplacement aux virus..

par **bobbysixkiller** » 05 Avr 2004 01:25

Merci pour vos reponses qui m'ont apportées beaucoup de renseignement.
Je pense que je vais restaurer mes données, par petits morceaux, en les scanans, et laisser de coté tout ce que inoculate ne peut pas controler.
Puis je vais tres etroitement surveiller ma bande passante et les eventuels disfonctionnements de windows pendant les 2 semaines qui viennent.
bonne soiree (journee?!)

par **bobbysixkiller** » 05 Avr 2004 12:05

bon, ben finallement des problemes demeurent....
aujourd'hui, mon w2000 plante au demarrage, les observateurs d'evenement ne me disent pas d'ou ca vient...
Alors que ma bande passante semble libre (aucun transfere de données quand je suis sur internet sur une page fixe, meme pendant longtemps), je viens de voir que mes deux disques etaient partagés(c$ et g$), alors
que le petit symbole qu'il y a d'habitude(la main en dessous de l'icone du disque) n'est pas presente.
pc cillin ne trouve toujours rien.
Les cles de registre a verifier dans ce genre de cas ne donnent rien(....windows/current version/run).
Vraiment, je suis depité et j'en ai marre.quelqu'un aurait-il une idée de la marche a suivre pour me sortir de cette situation, ou bien dois-je en arriver au format c: /u (merci pour cette commande au passage, je ne la connaissait pas), voir au formatage de bas niveau?
merci encore.

par **bobbysixkiller** » 05 Avr 2004 12:08

en attendant, je continue a eplucher les programmes qui sont en tache de fond.

par **Fredish** » 05 Avr 2004 14:51

Si j'ai bien compris, tu as deux disques, dont un avec des données certainement endommagées, l'autre que tu pourrais reformater si besoin.

Le problème à mon avis, c'est qu'à chaque fois que tu branches ton disque vérolé, il copie ses codes malveillants sur le bon disque; même si tu n'as rien vu, parce qu'un système qui déconne au bout de trois jours, c'est pas trop normal, même pour du windows... Bref, la seule solution raisonnable serait de te faire une disquette d'anti-virus sous dos, f-prot(google) est très bien; une disquette de démarrage W98 devrait faire l'affaire. Si tu peux graver, tu peux aussi essayer cette solution: http://www.ultimatebootcd.com/ ; un cd à graver, avec quelques utilitaires interessants, dont f-prot(image iso, ne pas la copier comme des données; nero>graver l'image, par exemple). Il y a bien aussi PE builder( http://severinterrier.free.fr/Boot/PE-Builder/index.htm ), mais je me demande s'il est très sage de travailler si longtemps sur tes fichiers si tu as un virus, il pourrrait bien les corrompre. Vu que tous ces utilitaires (ultimate boot et pe builder) fonctionnent de facon autonome (cd bootable), tu pourras scanner à partir d'un système sain, effacer les fichiers vérolés, puis réessayer de lancer windows après pour sauver tes données par exemple ( en étant sûr que windows est sain aussi).

Enfin, si tout ca ne fonctionne pas, il te reste le formatage de bas niveau. Ne crois pas que ce soit bien difficile à faire, les fabricants distribuent des disquettes ou cds bootables pour faire cela. Maxtor a l'outil Maxblast. Il est possible que cela fonctionne pour une autre marque, mais essaye d'abord avec le site du fabricant de ton disque.

N'oublie pas de formater le disque où tu veux installer ton nouveau système d'exploitation. Ce serait dommage qu'après avoir viré les virus de l'autre disque, tu recontamines à cause de ça. Voilà.

par **bobbysixkiller** » 05 Avr 2004 16:13

Merci Fredish, je vais suivre tes conseils et faire tout ca(j'ai du pain sur la planche....)
Je vous tient au courant et merci encore

par **Mael** » 05 Avr 2004 16:22

je viens de voir que mes deux disques etaient partagés(c$ et g$), alors
que le petit symbole qu'il y a d'habitude(la main en dessous de l'icone du disque) n'est pas presente.

Ca s'appelle les partages administratifs et c'est par défaut sur tous les windows 2000, XP. Une clé à rajouter dans la base de registre permet de les supprimer, fais une recherche.

Mael

par **jibe** » 05 Avr 2004 22:41

Si tu as besoin de formater bas niveau, tu peux utiliser tdclear. C'est un outil Western Digital, mais il marche sur tous les disques durs. Sert aussi à tester les disques avec tests non destructeurs.

Sinon, puisque tu as acheté Mc Affee, utilise-le ! Tu peux aussi essayer la version d'évaluation de Kaspersky qui est considéré par beaucoup comme l'un des meilleurs anti-virus. Tu auras un mois pour trouver la bestiole qui bouffe ton PC...

probleme depuis intrusion

probleme depuis intrusion

Qui est en ligne ?