Hello à tous,
 
Depuis ce matin, problème:
 
-connexion adsl par wanadoo
-la connexion se fait sans problème, mais impossible de surfer
-la page demandée n'existe pas
-gestionnaire de tache: un prog nommé avserve.exe est là et utilise 80% du processus
-je termine le processus et enfin je peux surfer
-mais toutes les 10 minutes environ, j'ai de nouveau le meme problème, avec cette fois un prog qui prend plusieurs chiffres différents du style xxxx_up.exe
-en terminant le processus, pas de problème, mais je me vois pas faire la manip toutes les 10 min pendant la journée
-si d'autres ont le même problème, n'hésitez pas à en parler ici et à faire part de vos méthodes pour se débarraser de ce virus ? trojan ?  
 
merci
 
edit: modif sujet

Un virus se propage actuellement:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
 
Ensuite, activer le firewall fourni avec XP
http://www.libellules.ch/firewall_xp.php
 
Voici un patch à installer
http://www.microsoft.com/france/technet/themes/Secur/Info/info.asp?mar=/france/technet/themes/Secur/Info/MS04-011.html
 
et surtout, ensuite, aller sur le lien suivant pour rechercher et installer le maximum
www.windowsupdate.com  

Merci peace

Les liens symantec ne fonctionnent pas chez moi.
 
Sont-ce les attaques par netsky ?

Uprima a écrit :   Les liens symantec ne fonctionnent pas chez moi.   Sont-ce les attaques par netsky ?

Non, attques de SASSER.
Equivalent de blaster, mais avec une nouvelle faille windows.

The presence of the following files is an indication of infection:
%windows%avserve.exe
 
The worm then adds one of the following registry values:
"avserve.exe"=%windows%avserve.exe

Uprima a écrit :   Les liens symantec ne fonctionnent pas chez moi.   Sont-ce les attaques par netsky ?

Idem pour moi.
ça promet

Je me le suis choppé bêtement ce matin en coupant mon firewall pour faire un test; 2 minutes et c'était contaminé.
Il commence par un petit reboot (que j'ai pu empecher en faisant  
shutdown -a ) puis il m'avait virer mon bouton "arreter" que j'ai remis en  bidouillant la base de registre.
Après y'a les fameux fichiers avserve.exe et up_xxxx.exe qui tentent d'acceder au net (ouf mon firewall les bloque, je contaminerai personne d'autre )
Finalement j'ai virer les .exe suspects et j'attend le correctif en restant sous linux

Uprima a écrit :   Les liens symantec ne fonctionnent pas chez moi.

 
Je confirme, les liens ne fonctionnent pas.
 
Peux-tu mettre ici un copier coller de la page ?

Uprima a écrit :   Les liens symantec ne fonctionnent pas chez moi.   Sont-ce les attaques par netsky ?

Il n'y a pas que les liens symantec.

En allant dans l'éditeur de registre à cet endroit:  
 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
 
J'ai enlevé le fichier avserve.exe.
 
J'ai rebooté, mis le FW windows XP, et le virus n'est pas revenu pour l'instant.

il y'a aussi ceux la  
 
TREND MICRO
 
Mais c'est en anglais...

vince911g a écrit :   il y'a aussi ceux la     TREND MICRO   Mais c'est en anglais...

 
Thanks

Removing autostart entries from the registry prevents the malware from executing during startup.  
 
1. Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.  
2. In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run  
3. In the right panel, locate and delete the entry or entries:
avserve.exe = %Windows%avserve.exe  
4. Close Registry Editor.
 
C'est ce que j'ai fait !!! Semblerait que tout soit rentré dans l'ordre.

install les patchs aussi

Je l'ai eu ce matin, en virant cette clé du registre ça revient  
 
Apparemment le ver s'installait avec emule... J'ai viré emule et je l'ai réinstallé, c'etait propre jusqu'à ce que je me reconnecte sur le réseau, et je l'ai de nouveau eu  
 
Maintenant j'ai mis norton et ça a l'air d'etre bon, mais je vais tenter le patch de correction, ça m'évitera d'avoir l'antivirus qui tourne

Eldrad a écrit :   Je l'ai eu ce matin, en virant cette clé du registre ça revient     Apparemment le ver s'installait avec emule... J'ai viré emule et je l'ai réinstallé, c'etait propre jusqu'à ce que je me reconnecte sur le réseau, et je l'ai de nouveau eu     Maintenant j'ai mis norton et ça a l'air d'etre bon, mais je vais tenter le patch de correction, ça m'évitera d'avoir l'antivirus qui tourne

 
 
Explications :
Le virus utilises une attaque contre windows, puis s'y installe pour communiquer avec l'extérieur (ouverture d'un accès et dispersion du virus par attaque d'autres machines). Ca ne s'installe pas via emule, kazaa, ou autre. Par contre, l'attaque existe de manière indépendante (un autre virus, ou un humain malicieux peut vous attaquer directement).
Donc l'antivirus va l'empécher de s'installer mais pas de te faire rebooter.
Le firewall va l'empécher de se connecter, mais il existe un moyen de bypasser le FW Xp (sisi) -> ça bloque par une autre forme de virus.
Le patch va fermer le trou, mais il faut penser aux prochaines variantes de la faille de sécurité, qui ne sont pas encore patchés.
 
Donc faites les 3

_peace_ a écrit :   Explications : Le virus utilises une attaque contre windows, puis s'y installe pour communiquer avec l'extérieur (ouverture d'un accès et dispersion du virus par attaque d'autres machines). Donc l'antivirus va l'empécher de s'installer mais pas de te faire rebooter. Le firewall va l'empécher de se connecter, mais il existe un moyen de bypasser le FW Xp (sisi) -> ça bloque par une autre forme de virus. Le patch va fermer le trou, mais il faut penser aux prochaines variantes de la faille de sécurité, qui ne sont pas encore patchés.   Donc faites les 3

pas rassurant tout ça !  
 
J'aimerais bien savoir comment ça se propage, ces vers... Les virus ok, c'est relativement facile à éviter (ne pas lancer n'importe quel .exe qui traine), mais les vers, c'est plus chaud

Merci à tous
 
Super la réactivité sur forum-auto, un en particulier à peace !!!
 

Eldrad a écrit :   pas rassurant tout ça !     J'aimerais bien savoir comment ça se propage, ces vers... Les virus ok, c'est relativement facile à éviter (ne pas lancer n'importe quel .exe qui traine), mais les vers, c'est plus chaud

 
Un vers se propage via l'utilisation d'une "porte" dans une machine, puis s'installe et réinfecte d'autres machines.
 
Un virus modifie des supports (disquettes, éxecutables, images, mp3s, etc...) afin de se propager.
Edit: attention, un virus peux aussi exister dans d'autres supports que des EXE. Par exemple, il existe des .MPG qui lors du chargement infecte le pc sur lesquels ils sont chargés.

Uprima a écrit :   Merci à tous   Super la réactivité sur forum-auto, un en particulier à peace !!!

De rien, autant s'entre aider, dans ce monde de fou, ça fait toujours plaisir
(ps: pis c'est une partie de mon métier la sécu, cf les appels rassurants des équipes dont j'ai la charge "500 attaques en 10 minutes, mais tout est Ok ici"

Donc en gros, quand on n'a pas les derniers patches, on n'échappe jamais à un ver

Eldrad a écrit :   Donc en gros, quand on n'a pas les derniers patches, on n'échappe jamais à un ver

 
Si, tu peux y échapper, si tu possèdes une protection suffisante en "facade".
En gros, il faut utiliser un modem-routeur qui fait Firewall, ou un firewall logiciel, etc... Ainsi l'acccès direct à ta machine de l'extérieur ne pourra s'effectuer, ralentissant la propagation.
Mais c'est n'est qu'une partie de la protection.
 
Patches et définition d'antivirus doivent être à jour.

Un peu contraignant le firewall, quand on utilise des programmes de P2P, de chat et des jeux... Faut tout paramétrer

Eldrad a écrit :   Donc en gros, quand on n'a pas les derniers patches, on n'échappe jamais à un ver

 
Et souvent les patch sortent après les ver

smart a écrit :   Et souvent les patch sortent après les ver

Normal, ce sont les vers qui montrent à microsoft qu'ils ont sorti une grosse bouse, et du coup ils s'empressent de corriger

Eldrad a écrit :   Un peu contraignant le firewall, quand on utilise des programmes de P2P, de chat et des jeux... Faut tout paramétrer

 
Mais non Suffit de dire oui ou non Et puis tu paramètres une seule fois
Un exemple est le Mac Afee security center: antivirus + FW logiciel.
Je joue et tout, sans aucun problème, car j'ai accepté que tel ou tel programme accède à internet. Les autres n'y arriveront pas.
 
Maintenant, c'est TON pc, chacun ses choix.

_peace_ a écrit :   Mais non Suffit de dire oui ou non Et puis tu paramètres une seule fois Un exemple est le Mac Afee security center: antivirus + FW logiciel. Je joue et tout, sans aucun problème, car j'ai accepté que tel ou tel programme accède à internet. Les autres n'y arriveront pas.   Maintenant, c'est TON pc, chacun ses choix.

J'ai mis norton depuis midi, je vais tester un peu... Apparemment ça fait aussi firewall  
 
J'aimerais un truc qui ne pompe pas trop sur l'ordi, par contre

Si vous avez la fenêtre de compte à rebours qui apparait et que vous souhaiter la faire disparaitre, ouvrez vite "éxécuter" (en faisant DEMARRER => EXECUTER) et taper "shutdown -a" (sans les guillemets ).
Voilà ce qui vous permettera de télécharger le patch SASSER WORM

Trend Micro vient de me prévenir qu'un nouveau vers a été découvert, il se nomme SASSER... ... Avec en plus la mise à jour de mon antivirus.

Eldrad a écrit :   J'ai mis norton depuis midi, je vais tester un peu... Apparemment ça fait aussi firewall     J'aimerais un truc qui ne pompe pas trop sur l'ordi, par contre

Moi ça va

lopga a écrit :   Trend Micro vient de me prévenir qu'un nouveau vers a été découvert, il se nomme SASSER... ... Avec en plus la mise à jour de mon antivirus.

 
Mon équipe m'a prévenu hier soir vers 23h50.

pires91 a écrit :   Si vous avez la fenêtre de compte à rebours qui apparait et que vous souhaiter la faire disparaitre, ouvrez vite "éxécuter" (en faisant DEMARRER => EXECUTER) et taper "shutdown -a" (sans les guillemets ). Voilà ce qui vous permettera de télécharger le patch SASSER WORM

  pas sur windows 2K et windows NT.

 
j'ai wanadoo, et tout les dix minutes mon programme s'arrête, comme je suis nul de chez nul, comment faire... Je sais vous l'expliquer mais je ne sais pas quoi télécharger car c'est en anglais les liens que tu as donné.