Page 1 sur 1

Publié : lun. oct. 11, 2004 8:16 pm
par Bastan
Voilà,
J'ai un copain(toujours le même) qui avait un comportement bizarre de son ordi; ralentissements, popups, blocages, etc..
Pas de problèmes lui dis je ;-) Tu sauvegardes tout les fichiers auxquels tu tiens, et on refait une install "propre".
On réinstalle donc XP (mises à jour + SP1), puis Norton Antivirus (mise à jour également).
Et là pendant le chargement des Maj sur le site de Microsoft, un popup, puis deux, puis une alerte de Norton Autoprotect, en faisant CTRL/ALT/SUPR on s'aperçoit que l'UC est à 100% en permanence.
On se déconnecte, l'UC est toujours au taquet.
Je m'aperçois que je n'avais pas activé le FireWall de Windows sur la connection. Je l'active... Il se désactive tout seul 5" après. Impossible de l'activer quoi.
Bon, pas de chance on se dit ! Et on restaure l'image de l'install juste avant la première connection (pas fou le Bastan ;-) ). J'active cette fois ci le FireWall de Windows, et cette fois ci, pas de pb. Surf rapide, UC entre 10 et 15 %, normal quoi.
Je le quitte, avec la sensation du travail accompli :-)
Le lendemain, il tente une connection directe avec un autre pote pour un petit vol sur Forgotten, et là, a cause du FireWall surement, la connection ne s'établit pas dans le jeu. Ca nous est déjà arrivé. Il vire le FW, et là quasiment aussitôt, même effets, UC à donf, et blocage de l'ordi.

Intrigué, j'ai essayé chez moi, j'ai désactivé Norton, et aussi le FW de Windows, j'ai surfé un petit moment, en laissant ZoneAlarm pour observer, je n'ai pas subi d'"attaque", et après un scan complet pas de virus. Bon, je le ferai pas tout le temps, mais c'était un test ;-)

Alors voilà, j'arrive à ma question, comment se fait il que lui, dès qu'il baisse la garde moins d'une minute il subit une attaque en règle qui lui bloque totalement l'ordi (install d'origine fiable et sans virus), et que moi, exactement dans les mêmes conditions, pendant plus de 10', rien ne se passe ?

Est il possible que son ordi spécialement soit "ciblé" par un esprit malveillant ;-) ?
Normalement, à chaque nouvelle connection, on a une nouvelle IP, donc je n'y crois pas beaucoup...

On est chez des FAI différents. Cela peut il venir de là ?

A la vue des derniers messages sur ce forum, il apparait qu'il est vraiment pas conseillé de "sortir non couvert" sur le net.

Mais quand même une telle différence m'étonne.
Merci d'avoir lu jusqu'au bout :-)

Z'avez une idée ??

Publié : lun. oct. 11, 2004 9:17 pm
par froggy.sim-fr
Ben moi quand j'avais choppé Netsky, et puis plusieurs fois après, mon IP (fixe mais derrière routeur) était mémorisée par les petits bébés... que Netsky avait créé depuis chez moi... et balancé chez d'autres... Ces derniers cherchaient à se reconnecter chez moi et si j'étais connecté non protégé je le rechoppait à chaque fois le Netsky...

C'est assez typique d'un vers. Vous pouvez ne rien avoir choppé parce qu'il utilise une ancienne faille de sécurité que vous avez corrigé avec un patch plus récent.

C'est une hypothèse parmis d'autres...

Publié : lun. oct. 11, 2004 9:23 pm
par valere
Originally posted by froggy.sim-fr@11 Oct 2004, 20:17
Ben moi quand j'avais choppé Netsky, et puis plusieurs fois après, mon IP (fixe mais derrière routeur) était mémorisée par les petits bébés... que Netsky avait créé depuis chez moi... et balancé chez d'autres... Ces derniers cherchaient à se reconnecter chez moi et si j'étais connecté non protégé je le rechoppait à chaque fois le Netsky...
Je ne suis pas sur mais il ne me semble pas qu'ils mémorisent les ips, c'est juste que les ordinateurs infectés scannent des plages d'ip (dont la tienne).

Pour en revenir au probleme de bastan, il y a une étude qui est sorti il y a quelques semaines, montrant qu'un pc sans protection ne dépassait pas 20 minutes sur le net avant d'etre infecté par un virus, spyware ou autre.

Le meilleur conseil pour ton ami que je puisse lui donner est de ne pas couper son firewall mais plutot de le configurer pour que ses programmes puissent passer sans problème. ;)

Publié : lun. oct. 11, 2004 9:27 pm
par froggy.sim-fr
Si si : confirmé par un "tracer" pour suivre l'origine des appels... c'était pas fait au hasard apparemment en tout cas.

Publié : lun. oct. 11, 2004 9:30 pm
par Nova
Salut Bastan,
je napporte qu'une idée à l'edifice; je me rapelle du worm32Blaster qui avait infecté pas mal d'ordis.
Ce ver etait connu pour rester sur le disque dur même aprés passage de l'outil de suppression de Symantec (et aussi formattage me semble t-il).
Sachant qu'un formattage ne nettoie jamais complètement un DD, peut-être que son virus est encore present dans un fin fond de son DD.
Ton ami n'a plus qu'a reformatter et reformatter plusieurs fois de suite...

C'est aussi une hypthèse parmis d'autres...

Publié : lun. oct. 11, 2004 9:50 pm
par Bastan
"Le meilleur conseil pour ton ami que je puisse lui donner est de ne pas couper son firewall mais plutot de le configurer pour que ses programmes puissent passer sans problème"
C'est fait ! Mais celui de XP (SP1) n'est pas très paramêtrable...
C'est mieux avec SP2 ou il faut investir dans un truc genre ZoneAlarm ?

"Ton ami n'a plus qu'a reformatter et reformatter plusieurs fois de suite..."
Il y a aussi un tout petit programme (4 Ko) que certains doivent connaitre qui est "flush_hd.com" .
Il est même nécessaire de repartionner ensuite.

"il y a une étude qui est sorti il y a quelques semaines, montrant qu'un pc sans protection ne dépassait pas 20 minutes sur le net avant d'etre infecté par un virus, spyware ou autre"
Oui, ça je m'en doute...
Mais pourquoi chez lui c'est instantanné alors que chez moi 10' après , toujours rien ?
Ca pourrait pas être lié au FAI ?

Publié : lun. oct. 11, 2004 10:12 pm
par Wagner
Pour le formatage, le CELAR (CEntre d'ELectronique de l'ARmement) préconise de le faire 5 fois à suivre pour tout effacer.

L'idéal quand on réinstalle windows c'est de débrancher le câble de connexion au net et de disposer des SP, de l'antivirus et de ses mises à jour sur un autre disque dur, un cd gravé, etc...

J'avais eu aussi un problème de pop-up intempestif, si j'ai bonne mémoire je m'en suis débarassé avec un anti spyware, pour ça y'a ad-aware et spybot, les deux sur le pc avec un scan fréquent et t'es tranquil.

Publié : mar. oct. 12, 2004 3:50 am
par w2totor
euhh je suis pas tout a fait d'accord:

même si un fichier reste présent sur le disque aprés un formatage (admettons, le formatage n'est pas bas niveau); ce fichier n'est plus référencé par le systéme, il n'est donc plus vu par le systeme, il ne peut donc plus s'executer.

donc un virus ne peut pas resister a un formatage.

(par contre, si on veut empecher que quelqu'un vienne lire les données présentes avant le formatage; la oui, il faut utiliser des utilitaires ou formater plusieurs fois)


@Bastan: avez vous exactement la même config: tu parle de SP1 mais tu ne parles pas d'aprés: as-tu fait les mises a jour de securité suivantes OU le SP2 sur le pc de ton pote ? sur le tien ?

hypotheses:
- ton PC est a jour donc pas de pb; les virus/troyen ne peuvent pas exploiter de faille pour rentrer. lorsque tu as reinstallé le PC de ton pote, le temps de télécharger les MAJ, il s'est fait infecté !
- vous n'avez pas le même FAI, il est en IP fixe pas toi ?
- lorsque tu as fait le test sur ton PC, tu as desactivé le FW de windows mais laissé Zone alarme actif. celui-ci est-il configuré pour t'avertir ou les "attaques" sont-elles simplement repoussées sans que tu t'en aperçoive ?

Publié : mar. oct. 12, 2004 1:31 pm
par Daube
Dans XP SP1, le firewall windows, il sert a rien. Il portege pas grand chose, et de toutes manieres si tu possedes Norton Firewall, il devient completment inutile.
Ah si, il sert a perturber la connexion. Laisses-le donc desactive.

A mon avis, ton ordi qui rame, c'est pas a cause d'un virus mais plutot d'un service de windows, genre un service reseau qui essaie d'utiliser la carte ethernet de l'ordi.

Ton pote il se connecte comment a Internet ? Si il utilise un modem PCI ou USB et qu'il n'est pas connecte a un reseau local, je te conseille soit de desactiver le reseau local dans windows, soit de desactiver completement la carte ethernet de l'ordi.

Ca m'est arrive sur l'ordi d'un ami. Impossible pour lui de jouer ou quoi que ce soit. Meme sur le bureau ca ramait. J'avais regarde dans les processus de fond, c'etait un certain svchost (un service reseau de windows, un svchost par service) qui bouffait toutes les ressource.... bah je l'ai kille et l'ordi marchait mieux <_<
Apres j'ai plus tous les details en tete., mais je crois bien que j'ai fait le tri dans ses services lances au demarrage.

Je posterai si je me souviens de details...

Publié : mar. oct. 12, 2004 5:09 pm
par koolen
J ai fait une reinstall recemment :

je mets donc Xp normal, je vais sur wupdate pour
le passer en SP1 -> rien que le fait de me connecter
j ai deja 5 virus !!!

Donc je confirme ce qui a deja ete dit : faites vous
une install avec la Sp1 ou Sp2 deja de prete, pour que
les failles liées aux ports soient tout de suite corrigées !!

Sinon fo etre sur de son AV !

Publié : mar. oct. 12, 2004 6:21 pm
par valere
Vous pouvez commander et recevoir gratuitement le cd du sp2 qui inclus les mises a jour du sp1 sur ce lien pour pouvoir vous connecter sur le net avec quelques failles en moins après un format/reinstall. :lol:

Et pour le cd/dvd multiboot je vous conseille ce site

Publié : mar. oct. 12, 2004 11:39 pm
par Soron_12f
ouais je dirais aussi le FAI, donc le range d'IP qui serait "catalogué"...
J'ai une connaissance chez qui c'est un fléau dès qu'il se connecte à internet...

Publié : mer. oct. 13, 2004 10:45 am
par DRIZZ'T
Salut

Dans mon cas, mon FAI est ADSL par le Cable, et ce FAI me fournie une IP statique, qui est toujours la même depuis bientôt deux ans.Il y a deux ans, je tournais aussi avec Norton, mais l'an dernier après avoir été vérolé par Blaster, j'ai fait une élimination en règle, car un formatage ne suffisait pas.En effet ce vers se multipliait partout sur le système ( programme files, docs & settings, base de registre et enfin dans le noyau Windows (celui qui est de couleur verte lorsque tu defrags et qui n'est pas déplaçable).
Après tout cela j'ai réinstaller tout le système correctement avec toutes les mises à jours critiques SP1 et autres, mais en réinstallant Norton, celui ci s'est mit à déconner :
- Ralentissement du démarrage.... :ph34r:
- Plantage de certaines applis......
Et d'autres soucis dont j'ai oublié les détails qui m'éxaspéraient tout autant.Du coup, je vire Norton après avoir déconnecté mon modem, et j'installe Kaspersky, je reboot en reconnectant mon modem et fais une mise à jour de l'AntiVirus et une analyse totale de mon système.....
Lisez bien ce qui suit :
Lors de l'analyse, Kaspersky me trouve sur mon DD 5 virus, 3 vers, un trojan et une saloperie de TrojanDownloader.exe...... :angry: :wub: .......et me les vire à ma demande.Depuis plus aucuns soucis.
Moi je dis que les antivirus sont fiables, mais ne reconnaissent pas tous les mêmes signatures, et plus personnellement je pense que Norton n'est plus le meilleur anti-virus.
Bref ! Ceci explique seulement mon cas, mais il peut en etre tout autrement pour ton ami.Mais déjà éssaye une procédure du même genre, change d'antivirus, et ne fais pas tourner 50 "hunters" en même temps (genre AlarmZone + Norton), mais un seul.Perso, le FW de XP moi je l'active en continu, et mon antivirus je desactive(je sais c'est risqué un peu) sa protection en temps réelle, car ça ralentit tout, mais je fais un Scann haute securité toutes les semaines.
En espérant que cela puisse t'aider.A plus :)

Publié : mer. oct. 13, 2004 1:31 pm
par Bastan
Houla !! J'ai pas lu depuis quques temps; et plein de réponses...


"c'etait un certain svchost " effectivement svchost est à fond...

"avez vous exactement la même config: tu parle de SP1 mais tu ne parles pas d'aprés: as-tu fait les mises a jour de securité suivantes OU le SP2 sur le pc de ton pote ? sur le tien ?" Oui, et la première chose qu'on a fait dès la première connection, c'est las maj de Norton AV et de Win XP

"vous n'avez pas le même FAI, il est en IP fixe pas toi ?" On n'a pas me même FAI, mais aucun n'a une IP fixe. Donc...égalité je pense..

"lorsque tu as fait le test sur ton PC, tu as desactivé le FW de windows mais laissé Zone alarme actif. celui-ci est-il configuré pour t'avertir ou les "attaques" sont-elles simplement repoussées sans que tu t'en aperçoive ? " Non, bien sur, j'avais paramêtré ZA pour qu'il me demande dans tous les cas ;)

" Si il utilise un modem PCI ou USB et qu'il n'est pas connecte a un reseau local, je te conseille soit de desactiver le reseau local dans windows, soit de desactiver completement la carte ethernet de l'ordi" son modem est un modem USB (ce que je n'aime pas trop..) Il n'a pas de réseau local, mais effectivement un port ethernet sur sa CM que je n'ai pas désactivé dans le Bios... Mais rien n'est branché dessus...

"Apres j'ai plus tous les details en tete., mais je crois bien que j'ai fait le tri dans ses services lances au demarrage" Mais c'est l'install par défaut de Win comme chez moi (ou du moins avec les mêmes modifs) donc la différence ne doit pas être à ce niveau...je pense...

"Donc je confirme ce qui a deja ete dit : faites vous une install avec la Sp1 ou Sp2 deja de prete, pour que les failles liées aux ports soient tout de suite corrigées " SP1 était installé avant la première connection..

"ouais je dirais aussi le FAI, donc le range d'IP qui serait "catalogué"... " C'est possible !?

"Moi je dis que les antivirus sont fiables, mais ne reconnaissent pas tous les mêmes signatures, et plus personnellement je pense que Norton n'est plus le meilleur anti-virus." Ca vaut le coup d'essayer...

Merci à tous !

Publié : mer. oct. 13, 2004 4:41 pm
par Daube
Si c'est bien svchost qui est a fond, alors essaie de desactiver le reseau local sur son ordi.
En faisant afficher les proprietes de l'icone des 'favoris reseaux', tu vas avoir la liste des connexion. Ton pote doit en avoir deux: la connexion internet, et une connexion locale (cree automatiquement puisqu'il y a une carte ethernet sur cet ordi). Essaie donc de la desactiver pour voir si le svchost se calme. Si ca ne suffit pas, alors desactive carrement le port ethernet de la carte mere (dans le bios ou dans windows...dans le bios ca doit etre mieux je pense.

C'est un service reseau qui essaie de se servir de la carte ethernet. C'est pas forcement un virus. Souvent, les requetes sur une carte ethernet qui n'est reliee a rien font ramer, me demande pas pourquoi.

Au pire, essaie juste de killer le svchost qui est a fond, puis continue de te servir de l'ordi pour voir si tout fonctionne toujours correctement (notemment la connexion internet, les jeux, tout ca quoi...)