j'ai une saloperie que je pensais etre un Sasser , donc a priori traitable , vu que y'a pas mal d'outils 'pour lui', mais là je suis TRES mal : RIEN ne marche ...    
 
donc comme Sasser ,  tant que la bécane n'est pas connectée au net , il se passe rien et des que je la connecte , le temps pour la saloperie d'appeler Sasser (une a deux minutes max) je ne sais ou, et hop ça lance lsass.exe pour fermer la bécane ; je bloque avec shutdown -a
 
pour faire court voilà (une partie) avec quoi j'ai cherché...
 
AntiVir Perso 6.28
AVG 6.0 Grisoft
Secuser (en ligne)
Stinger 2.4_McAfee
FixBlast W32 BlasterWorm_Symantec
Trojan Remover 6.3
A2 (squared) Personal
SpybotSD 1.3
etc...
 
ne serait-ce que Stinger de McAfee traite normalement tous les Sasser (A,B...E,..)
 
bien sur je n'oublie pas le boot sector dans les options ;  j'ai fait aussi un fdisk/mbr  ; je désactive le System Restore ; et bien sur je scanne TOUT ce qui est possible ;  j'ai cherché 'à la main' fichier par fichier ; etc,etc...
 
et que dalle, que dalle    
 
comment le trouver !!?? ou bien est ce que , ultimement, c'est mon adresse IP qui est une cible permanente et y'a plus rien sur ma bécane , mais "dehors" on l'attend ...
 
ou alors c'est un Sasser like,  mais c'est pas lui; et comment expliquer qu'il  résiste à tant d'outils !!?? avec des bases à jour    
 
PS : je peux pas éssayer le pack SP2 because ça monte à 140Mo d'occupation RAM et la bécane affectée n'a que 256Mo et comme en plus c'est une petit Compaq Celeron533 , ça ramerait beaucoup trop

y'a personne qui sache (faire) cela    
 
en fait je ne trouve déjà pas le fichier 'source' , sur ma bécane, qui appelle donc le code qui va faire planter la bécane ;  
 
evidemment je peux me mettre sous protection du firewall puisque ça se passe sur les ports 135/445 ( à bloquer donc) mais je trouve pas ça bien normal ;de laisser en place cette merde    
 
ce que je pige pas trop non plus c'est *pourquoi* majoritairement les requetes retour viennent de Proxad (Free) ; ou plus exactement de bécanes chez Free (sur les DSLam de Free ) ; dans un rapport de 10 à 1 avec les bécanes à l'etranger  
 
je veux dire que si ma bécane est infectée (et elle l'est) , elle a donc aussi le meme code , qu'une autre bécane infectée (chez Free par ex donc) va donc venir le chercher chez moi...
 
je devrais pouvoir retrouver aussi cela sur ma bécane ?
 
please,  je le 'loge' comment le vers ?  puisque tous les outils cités ne voient  rien

TU CONNAIS LA MISE A JOUR DE WINDOWS ?? si tu peux po installer le SP2 (pourtant il suffit d'avoir de la place sur ton disque dur, tu vas sur http://windowsupdate.microsoft.com et tu télécharges toutes les mises à jour nécessaires. (les plus importantes au niveau de la securité)
 
Sinon pour le SP2 il te faut de la place de libre sur ton disque C:\ (ou disque système) mais il y a pas forcément besoin de beaucoup de mémoire, augmente ta mémoire virtuelle sinon ca passera
 
 
désolés mais à force ça devient lassant de répéter sans arrêt de mettre à jour son windows, moi je suis passé au SP2 sur toutes mes machines, j'ai activé le firewall du SP2 et j'ai aucun problème d'incompatibilité avec aucun programme

 
A premiève vu, ce n'est pas le cas de tout le monde, j'ai pleins de potes qui ont des misères avec le SP2, et il n'y a qu'a regarder sur le forum pour voir que tout n'est pas rose.
Moi, je n'ai pas mis le SP2 pour ces raisons là.

Don't fix it if it works ...
 
moi je n'installe que des maj a l'unité mais jamais de SP ...

 
pour le SP2, merci, je l'utilise sur2 autres bécanes ; là n'était pas ma question ; d'autant que j'ai précisé POURQUOI je le mets pas sur cette bécane ; quant à augmenter la mem virtuelle sur un DD 5400rpm ; faut lire avant de 'gueuler'
 
et merci aussi du 'conseil' d'activer le firewall de XP , mais il y a déjà Kerio qui est plus mieux ; et de toute façon ensuite la bécane rejoint un petit reseau protégé par un Linksys BEFSX41; mais hors de question de la mettre actuellement tant qu'elle n'est pas clean
 
excuse moi mais ton post ne me sert à rien (peut etre te sert il a toi); vu que , comme moi, tu ne sais comment déloger Sasser lorsque la méthode presse-bouton a échoué ( les divers antivirus mentionnés) ; ce qui est LA question posée
 
ya bien un spécialiste quand meme, qui sait cela    
 
à ce stade, c'est ce qui m'interesse ; gagner le fight avec le méchant, plus que m'entendre dire "mets 3 pulls et t'auras pas froid" ; voui...ça je le sais

bon et ben je reste avec Sasser   enfin...je pense que c'est lui !  
 
vu que mon topik ne trouve pas 'preneur' ,ben déjà alors au moins qqun pour la question ci-dessous ?
 
comment identifier , à coup sur, son ennemi, quand aucun "antivirus" ( ) n'est meme capable de voir qu'il est dans la bécane ; bien là, et actif    
 

regarde avec hijackthis, fais un scan, et fais le interpréter là http://www.hijackthis.de/index.php?langselect=french;
j'avais un truc sur sasser, vais le chercher, pour dégommage manuel, mais très éfficace, allez zou

je ne connais pas de nouveau Sasser, donc ça me parait zarbi. Y a aussi les Korgo qui font ça il me semble.
 
pour les antivirus en ligne essayes-en d'autres aussi.
 
comme le dit Musikat, poste un log Hijack This (v1.98.2) qu'on regarde ça de plus près

déjà merci à vous deux de me venir en aide ; c'est la premiere fois ou c'est si dur
 
oui bien sur j'utilise aussi HiJack This...
 
mais bon là il me dit rien !
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Hmonitor\hmonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall\PERSFW.exe
C:\Program Files\Kerio\Personal Firewall\PFWADMIN.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis19802.exe
C:\WINDOWS\system32\NOTEPAD.EXE
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [hmonitor] C:\Program Files\Hmonitor\hmonitor.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O17 - HKLM\System\CCS\Services\Tcpip\..\{D36ECF01-BEED-4C8D-95F7-B5758D51BBE6}: NameServer = 212.27.32.176,212.27.32.177
 
dans les process ben y'a encore Antivir et AVG que je vais virer definitivement , vu qu'ils n'ont pas été capables de trouver un Backdoor.sdBot.kn   , pourtant largement documenté et référencé, que donc Kaspersky 5 m'a trouvé et viré illico ; depuis Kasper me dit que la machine est clean mais...ça continue pourtant
 
là vous ne le(Kaspersky)  voyez pas actif , parceque il bouffe trop (pour ce petit Compaq) pour que je le mette en permanence , en frontal
 
y'a hmonitor ; bon j'ai besoin de surveiller ce Celeron qui se pique du >60° facile en full
 
y'a Kerio 2.15 (sans lui je serais pas là avec vous du reste ! enfin si via un shutdown -a )
 
ya enfin Firefox; voila ; ha notepad pour ouvrir le log !
 
ensuite
02 = Acrobat Reader 6
02 =SpybotSD 1.30
04= Msconfig
04=hmonitor
et enfin les deux DNS de Free
 
en fait perso je prefere "inxppect" pour lister tous les process, mais c'est pas le débat
 
là je craque mais ça me donne aussi la rage de continuer ; c'est pas possible que ça tienne en echec autant d'outils !! meme le vénéré Kaspersky 5 (base à jour) ; je l'ai pour 30 jours mais vu ce qu'il bouffe en ressources je sais pas si je le prendrai ;
 
enfin quand je dis Sasser , c'est parceque ça fait la meme chose que ce qui a fait sa gloire ( shutdown de la machine) ; mais c'est peut etre autre chose , que donc AUCUN outil ne voit
 
je resume rapido ce qu'il fait :
au lancement de la machine il se met en ecoute sur les ports 137/138/139 de mon IP Free, et attend un retour sur 445 /135 ; et donc shutdown au bout de 60 secondes
 
"retours" qui ne manquent pas d'arriver ! environ 300/400 à l'heure ; et beaucoup de chez Free(nautes) ! pourquoi aller chercher loin...
 
voila , si ça inspire qqchose , n'hesitez pas

tu as tenté le scan en ligne symantec?  
 
ce que je ne pige pas c'est qu'il n'y a rien dans les clés RUN ; mais il est vrai qu'on voit de plus en plus de virus qui s'installent ailleurs dans la bdr pour se lancer au démarrage maintenant

Symantec en ligne ; non pas encore ; mais bon qu'esperer quand Kapsersky (5.0.149.1 + base d'hier) me dit que la machine est..clean !!
 
et bien sur j'ai checké toutes les clés RUN de la bdr ; rien non plus
 
et il est *là* ; je le vois bien avec Kerio (et inxppect)  sur les ports 137/138/139 ....

 
bien sur dans Kaspersky j'ai checké le MAX sur le slider; donc c'est censé verifier aussi les virus de boot
 
et j'ai fait aussi un fdisk/mbr

Salut,
 
J'ai une question stupide : tu as passé la maj windows pour Sasser ?

dans le firewall Status de Kerio tu affiche le chemin complet pour le nom de l'appli? c'est quel nom?

 
je veux bien essayer ce truc 'manuel' bien sur
 
je pense que c'est un Sasser mais je n'en ai pas la preuve ; et meme de moins en moins vu que j'ai éssayé plein de petits trucs spécialisés sur Sasser (FxSasser de Symantec par ex) et walou
 
déjà je cherche à seulement le voir, le localiser ; à ce stade il demeure invisible par tous les outils du marché    

 
Elle est pas si conne ta question j'allais poser la même
 
les mise à jour critiques sont-elles faites ?
 
EDIT : Par ce que ta machine peut se faire petter la gueule sans être infectée... ça reboot mais le virus n'est pas là...

 
l'appli ? j'aimerai bien la trouver....; ça se prétend SYSTEM
sinon en 137/138/139 c'est en 'netbios.ns'
 
@gaaard28 :yes

 
nan pas toutes ; c'est vrai aussi ...
 
celles que je pensais à meme de lutter ;  
sinon je passe au SP2 ; mais là le petit Compaq il raaaame avec un systeme allegé à 100Mo ; alors 140Mo ça sera encore pire ; mon idée est de le rendre clean puis de le mettre comme ça , derriere le Linksys
 
de toute façon il peut meme pas faire tourner Kapsersky en frontal; il s'éffondre, je perds la main dessus !!

 
et y'a quoi alors qui ecoute sur 137/138/139 ?

 
comment ?
 
en fait je vais installer le SP2 ; j'ai plus trop le choix ; mais ça m'énerve de ne pas savoir QUI/QUOI m'aura emm...comme ça ; c'est pour ça que je demande 'comment' la machine peut se faire peter sans virus !!??
 
edit : j'ai été obligé d'attendre pas mal pour poster ; à cause du flood
sinon, merci de votre aide ; ça fait plaisir
 

si tu as un routeur hard commence par bloquer les ports qui vont bien. Ensuite tu n'as pas besoins du SP2 pour bloquer Sasser. Il y a des patchs :
 
http://www.microsoft.com/france/se [...] 4-011.html
 
http://www.microsoft.com/downloads [...] laylang=fr

 
oui je voudrais essayer d'éviter de mettre le SP2 ; non que je l'aime pas, je l'ai sur 2 autres bécanes et il me pose aucun ennui ; nickel; mais bon elles sont puissantes et avec de la RAM...
 
sinon je doute de plus en plus que ce soir Sasser  
 
je viens de verifier avec les outils adhoc de M$
Windows-KB841720-ENU-V4.exe
Windows-KB841720-ENU-V4-1.exe
 
qui checkent donc Sasser et ses variantes; niet !!  
 
ça fait ch..je sais pas ce que c'est , et c'est meme ce qui m'enerve le plus !
 
mais pour en revenir au role du routeur comme sauveur, ben nan je peux pas , je veux pas fonctionner comme ça ; voui "ça marche" , ça tient en echec "la chose" qui me pete la bécane mais c'est pas satisfaisant ; en plus je peux pas la mettre en contact avec d'autres bécanes clean  
 
(enfin sans pb avec ou sans firewall ! et pas d'activité suspecte et antivirus negatifS; meme si ça n'est finalement pas une preuve absolue....)

tu peux sortir une copie d'écran du log de Kerio sur ces ports ?

 
Bah regarde Blaster, la machine déconnait avant même que le virus soit entré... après reboot le virus est bien là mais les reboot et autres merdes sont faits à distance...

 
oui je vais le faire ;
 
par contre là ,avant d'abandonner (passer SP2), je viens de lui taper , à nouveau et donc sans rien de bien nouveau, SUR LA TETE avec tout ce que j'ai glané ce WE et ça en fait déjà pas mal....(j'ai aussi repassé le lien sur les -variantes- de Blaster , comme le suggérait f4ukp )
 
et alors ça évolue; il n'y a (pour l'instant ) pas/plus de retour illico de shutdown    
 
mais, mais le plus zarbi c'est que y'a toujours les fameux trois "bidules" SYSTEM , sur les ports 137/138/139
 
et là si je lance Kerio ( il etait donc désactivé là ) je vois TOUJOURS donc les 3 trucs louches, je vois TOUJOURS que Kerio bloque des  entrées TCP ( 50 là en 5') , mais le plus dingue c'est que donc , meme si apparemment rien n'a changé quant à la situation apparente, ben quand meme désormais le fait de ne plus/pas bloquer ces 'retours fautifs' ne plante plus la machine    
 
bon c'est moins pire mais c'est pas satisfaisant non plus ; c'est pas clair, c'est pas clean ; la seule chose c'est que quand meme en traquant du coté Sasser , il s'est passé qqchose , meme si soit-disant il n'etait pas là ; ce que me disait tous les outils, y compris l'outil de check de Krosoft  
 
enfin voilà ce que tu me demandes:

 
oui et non ; tant qu'elle n'est pas reliée au net , tout va bien et on ne peut donc voir , detecter le moindre virus ; ...apres non plus du reste
 
bref la machine ne déconne pas tant qu'il n'y a pas connexion au net ; là ça lance illico les processus decrits plus haut ; bien connus je suppose

les mises à jour critiques elles sont TOUTES faites ? (pas le SP2, les mises à jour dispo jusqu'à présent pour le SP1)

j'ai dit oui mais pas toutes ; la plupart des *critqiues* , pas les *importantes* ; ceci au "choix",  via donc microsoft.com/technet/security/CurrentDL.aspx

c'est quoi la connection entrante Wbar13... ?
 
sinon, ce que tu as noirci correspondait à des adresses IP ?  

 
bonne question
 
il a disparu ! une 'visite' de Krosoft à ce moment là ? vu que j'ai été récupéré qq utils là ce matin....; en fait ça me dit "reply from NTC server" , je vois rien d'autre sur ce port 123
 
sinon oui (en noir) ce sont mes IP Free ; et ce sont les "méchants" ; enfin normalement ; ceux qui déboulent illico des que je rebranche l'acces net
 
c'est de plus en plus étonnant ; dans les faits rien en semble avoir changé et malgré les retours (850 TCP blocked depuis le dernier reboot y'a une bonne heure) , je peux désormais arreter quand meme Kerio sans que ça plante la bécane ; je pige plus rien du tout

t'avais rebooté après les mises à jour critiques ?

 
quand meme , je sais ce qu'est la RAM

alors ecoute bien
tu es infesté de spyware et autre hijack qui interfere sur tes processus windaube  
 
1°) install regcleaner (gratos sur telcharegr.com) et file moi un print de ta startup list
2°) install adaware et met le a jour puis scan ton PC a mon avis t'as bien 200 a 300 spyware sur ton Pc
(gratos sur telecharger.com)
3°) fais moi un print ecran de TOUT tes processus en cours sur ta becane
 
ta ligne HijackThis19802.exe  est anormal
 
les antivirus ne scanne pas ce genre de chose sinon les trojandowloader qui permette de les installer sur ta becane (surtout kapersky)
 
un hijack= une tools bar qui essaye de s'installer sur ton navigateur donc tu as une faille IE6 exploité par un spyware. apres visblement tu as une faille sur lsass.exe ==>mise a jour XP oblogatoire
pour info les port 137/138/139 sont ouvert pour le fonctionnement de ta conenxion internet==> c'est des ports netbios. si tu les fermes : reboot du system c'est pas un virus c'est des ports necessaire pour les svhosts et lsass.exe.
apres ces ports peuvent etre piraté et les IP de tes "hacker" sont soient des ip de sites hack sur lequel ton Pc essaye de se connecté pour telecharger d'autres infos verolé et participer a la reproduction du virus vers d'autres internautes soient  ce sont les IPs host des serveur free sur lesquels tu es connecté pour ta connexion internet
 
voila j'attends les 3 points cité au dessus
 
Perso: moi sasser et blaster je les ai eradiqué manuellement via regcleaner et en killant les processus qui me semblait anormal, sans savoir a l'epoque que c t des virus et vu que j'avais ces satané reboot. apres j'ai mis a jour les failles de securité et plus de probleme
 
evite le SP2: il fait ramer les PC et en plante un paquet

 
tu veux dire des IP extérieurs provenant de free ?  
 différente de la tienne en local ? parce que si c'était un retour des bécanes sur le Dslam de Free, ça devrait s'afficher en "hôte" il me semble ou alors ça ressemble à un troyen, mais vu que t'as passé trojan remover..
 
est-ce qu'un CD d'installation de connexion à deux balles de free avait été mis sur le poste ?
 
[edit] zut, j'ai pas fait attention que tu te sers de free comme FAI..

 
waou quelle énergie , mais C pour la bonne cause, alors je t'en remercie ;
 
ceci étant, RegCleaner, AdAware, etc...tout ça j'ai et je m'en sers bien sur
 
200/300 spywares ; bigre alors AdAware 6.2.0.200 ( c ma version) me les aurait PAS vus ! ni SpyBotSD ( 1.3.0.12 c ma version)
 
pour les trojan, j'utilise Trojan Remover 6.3.1 (entre autre)
 
etc..etc..une vraie armurerie
 
la ToolBars IE6 que tu penses avoir décelé c'est du genre RealPlayer ou autre player media ; de toute façon je me sers pas de IE ...
 
>ta ligne HijackThis19802.exe  est anormal  
 
c'est le 19802 qui te gene ? c'est sa version...1.98.02
 
>apres visblement tu as une faille sur lsass.exe
ou tu le vois ? il fait son boulot, il me ferme la bécane ...
 
>pour info les port 137/138/139 sont ouvert pour le fonctionnement de ta conenxion internet==>
 
oui, je m'en doutais , j'attendais déjà cette confirmation ! bien ; mais je me doute aussi de leur vulnérabilité  
 
pour les "retours", oui ça vient de bécanes de Free(nautes) majoritairement ; avec plusieurs centaines de hits par heure; vers donc les ports 135/445 ; que je bloque avec Kerio
 
ce matin, je pensais avoir 'progressé' ; que dalle; ça continue... ; MAIS ça ne plante désormais plus la bécane; et là je comprends meme de moins en moins  
 
entre temps , à force de taper avec tous les outils sous la main, j'ai obtenu (sous la torture..) un nom : vpc32.exe ! que j'ai viré , à la main ( rename vpc33 puis exit et chasse impitoyable dans la BDR)
 
mais ça je soupçonne que ce soit récent , et sans rapport ; je veux dire que lorsque j'ai levé le firewall (pour voir comment ça se passait,plantage ou pas) , les gentils Freenautes m'ont refilé celà dans la foulée... ; le symptome était ,là, une lenteur inouie de la machine ; c'est guéri ça
 
sympa l'internet...  
 
le print de "tous les processus" il est limpide ; mais je veux bien t'en  faire un avec Inxppect  
 

 
nod32 c'est un nouvel antivirus que je teste pour sa prétendue faible occupation RAM; bof...de meme que Firefox, ça m'enerve un peu de voir 22Mo.., mais C pas le débat
 
et je te fais meme un print ecran de HiJack This ; limpide !?
 

 

au vu de tes process, c'est vrai qu'il n'y a rien d'anormal, mais j'essaye de comprendre un truc au niveau de ces adresses IP situé sur ton port en "local" qui sont noircies.  
Elles sont identiques et ne correspondent pas à ton adresse Ip ?
C'est en faisant des traceroutes que tu vois que ce sont des freenautes?
 
J'ai un peu de mal à comprendre comment une adresse IP différente de la tienne puisse être en "local address" et non en remote address  

bon pour résumer...
 
si dans les processus y'a rien d'anormal (?)  
 
ce que je voudrais maintenant savoir c'est si ça opere bien comme ça:
 
le vers attend une connexion reseau (internet) pour aller appeler qui/quoi ; mais alors comment sait -il , dans ce cas , OU aller chercher le code qui va planter la becane si on lui laisse acceder au Systeme ( via 135/445)
 
c'est comme ça que ça se passe ? comment alors le vers peut il etre invisible ? y'a bien un peu de code quand meme ...
 
si c'est ça , il y a alors deux aspects : le vers et le code "executoire"
 
et pourquoi dans ma bécane , ne trouve t-on pas non plus le code "nocif" ; celui qui fait planter ;  je suppose que c'est un package : vers + code (?)

certains vers (je sais plus lesquels) s'arrangent pour que tu es l'impression par exemple que tout ce qui se passe vient de explorer.exe donc rien ne te parait anormal
 
ils deviennent de plus en plus vicelards

 
si c'est mon adresse IP sur les 3  ; et comme je commençais à m'en douter , ces trois process SYSTEM qui se font jour à l'occasion d'une connexion internet, sont normaux (ce que dit zed69) ; et donc le fait d'etre sur les ports 137,138, 139 est probablement normal aussi
 
ensuite pour répondre à ta question, Kerio t'indique l'origine , le path complet, d'un hit vers les ports surveillés ( bloqués sans ton acceptation) ; 135/445 , ici = acces Systeme ; donc je vois bien que ça vient majoritairement de proxad , soit Free ; en fait de bécanes infectées, et connectées sur les DSLAM de Free ; mais ça vient de partout aussi ; US, Europe, des émirats j'ai meme vu !
 
EDIT : je comprends pourquoi tu t'interroges tant que ça..
 
c'est parceque j'ai écrit cela plus haut:
 
>sinon oui (en noir) ce sont mes IP Free ; et ce sont les "méchants"  
 
c'est faux ; je croyais que c'était le vers qui s'ouvrait cette connexion *via mon IP Free*