" Attaque RPC D COM BUFFER OVERFLOW" ou "Attaque LSASS..."

[invite17257e81]

Bonjour à tous,
J'ai acheté un PC il y a à peu près 1 mois. Après avoir souscrit un abonnement internet (connexion ADSL), j'ai installé un antivirus sur ma machine (PC-cillin) avec pare-feu. Voici mon problème:
Dès que je suis connecté j'ai le message suivant : " Attaque RPC D COM BUFFER OVERFLOW" ou "Attaque LSASS..." suivi d'un conseil de verrou immédiat de ma connexion.
J'ai remarqué également un trafic important sur mon modem, en effet il y a un trafic de sortie + important que l'entrant. J'ai réalisé un test (sur les conseils d'un ami) sous MS DOS en envoyant la commande "netstat -a" et là j'ai l'impression qu'il y a au moins 50 adresses IP sur mon poste....

Ce message risque de vous faire rigoler car j'ai pas un langage très "pointu" en informatique mais j'ai besoin d'aide.
Merci à tous

Le Galérien
-----

[invite5e6bd7a6]

Est-ce que la charge processeur est importante ? Vas dans le gestionnaire de tâches par Ctrl+Alt+Suppr et donne nous le pourcentage d'utilisation ainsi que la fréquence de ton processeur.

il y a un trafic de sortie + important que l'entrant

qu'il y a au moins 50 adresses IP sur mon poste

Tu as tout intérêt à scanner ton PC avec l'antivirus mis à jour (ce sont les symptômes typiques du ver Sasser...).
Après ton abonnement à un FAI pour l'ADSL, est-ce que tu t'es connecté un moment sans antivirus ni firewall ?

Attaque RPC D COM BUFFER OVERFLOW" ou "Attaque LSASS..."

Le site de Symantec attribue ce genre de message (c'est un message du firewall ?) au ver W32.Welchia.B.Worm.

[invite17257e81]

Bonjour Paul,
1/Concernant le pourcentage d'utilisation je vous donnerai les infos demain car je ne suis pas sur mon poste.
2/Entre l'abonnement et la mise en place de l'antivirus il ya eu effectivement une connexion ou 2 mais pas plus (merci papa c'était pour voir si çà marche!).
3/Les messages viennent bien du pare feu.

Tout a été mis à jour (windows et antivirus) et après scan j'ai vu des dossiers mis en quarantaine.

Merci

Le-Galérien

[invite5e6bd7a6]

Entre l'abonnement et la mise en place de l'antivirus il ya eu effectivement une connexion ou 2 mais pas plus

C'est largement suffisant pour laisser la porte grande ouverte aux virus, troyans, spywares... , ce que confirme d'ailleurs ton analyse antivirus. Il faut installer l'antivirus et le firewall avant la première connexion à Internet ! Essaie de supprimer les dossiers placés en quarantaine par l'antivirus et profites-en aussi pour faire une analyse avec Spybot (contre les spywares). Si tu n'as toujours pas d'amélioration, essaie un antivirus en ligne mais en dernier recours un formatage sera le plus efficace !

[A voir en vidéo sur Futura]

[invite17257e81]

Bon c'est la grosse m....


Le-Galérien

[JPL]

Il faut installer l'antivirus et le firewall avant la première connexion à Internet !

Ce qui signifie, bien entendu, avant la connexion à Windows update.
Ne pas oublier, le formatage étant généralement évitable, de faire un scan avec l'antivirus en mode sans échec : en mode normal tout ne peut pas être supprimé (cela explique peut-être ton problème).

[invitea3fc981a]

Bravo, dis bonjour à sasser

Worm classique, faille connue et réparée 12 jours avant l'apparition du virus ; solution : aller sur Windows Update pour installer le correctif correspondant (et les autres aussi tant qu'à faire), et après le système redeviendra nickel

Sinon tu peux aussi DL la màj avec un autre PC et la graver pour l'installer sur ta bécane si t'arrives pas à te connecter à Windows Update

[invite5e6bd7a6]

aller sur Windows Update pour installer le correctif correspondant (et les autres aussi tant qu'à faire), et après le système redeviendra nickel

Oui mais avant de bloquer le port utilisé part Sasser il faut aussi l'éradiquer ! Les correctifs proposés par Windows Update n'agaissent pas directement sur les vers mais leur empêche l'accès au PC.
Par contre Sasser date un peu donc je pense que pour trouver un patch de suppresion ça va être difficile...
Vérifie dans les processus que tu as bien un "sasser.exe" ou semblable, puis lance l'analyse antivirus. Si Sasser est bien détécté, supprime-le des processus actifs et supprime-le par l'antivirus. Sinon démarre en mode sans échec et lance l'antivirus.

[invite3e6260b8]

fait une recherche sur google pour " STINGER" analyse ton pc avec ,en allant dans les préférences tu trouvera l'option delete n'oubli pas comme il est dit plus haut de faire un mise à jours de tes patch sur le site windowsupdate .

[invitea3fc981a]

Oui mais avant de bloquer le port utilisé part Sasser il faut aussi l'éradiquer ! Les correctifs proposés par Windows Update n'agaissent pas directement sur les vers mais leur empêche l'accès au PC.

Heu... Pour moi tant que la brèche est ouverte, le worm peut revenir... La bonne méthode consiste donc bien à d'abord combler le trou (= installer le correctif à Windows), et ensuite à éradiquer le worm pour s'en débarasser définitivement

Vérifie dans les processus que tu as bien un "sasser.exe" ou semblable, puis lance l'analyse antivirus.

Nonon sasser ne se lance pas avec "sasser.exe" comme nom de processus ; je ne me souviens malheureusement plus du nom qu'il utilise, mais il lance des processus appelés "skynet.exe" pour scanner des IP. Dans tous les cas, une fois le correctif installé il faut scanner au minimum tout ton répertoire "Windows" ainsi que le répertoire "Documants and Settings"

[JPL]

Comme il y a des informations diverses qui se croisent, je reprends le scénario en supposant qu'on vient d'installer un Windows XP à partir du CD (donc, plein de trous de sécurité). L'ordre est important.
1) installer un firewall (si on n'en a pas sous la main, activer celui de XP : il fera parfaitement l'affaire de façon temporaire) ;
2) se connecter à Internet ;
3) faire un Windows update ;
4) télécharger tout ce dont on a besoin (firewall plus sérieux que celui de XP), antivirus...
5) se déconnecter ;
6) installer un firewall plus sérieux que celui de XP ;
7) se reconnecter... c'est bon,

Et maintenant, si on a XP installé et une machine contaminée.
1) mettre en route un firewall sérieux ;
2) l'ordre dans lequel on fait Windows update et la décontamination est sans importance si on a un firewall ;
3) arrêter la restauration du système ;
4) faire scanner l'ordinateur par son antivirus après avoir redémarré Windows en mode sans échec ; normalement il supprime l'infection ; s'il n'y arrive pas il indique au moins le nom du parasite ;
5) si nécessaire aller sur le site de votre antivirus et chercher : il propose certainement un petit programme gratuit pour supprimer la bête ; l'utiliser ;
6) redémarrer en mode normal et remettre la restauration du système en service.

Les cas où il faut faire plus compliqué (comme arrêter un processus à la main ou supprimer une clé de registre) sont rarissimes si on agit ainsi.

[invite17257e81]

Bon merci pour les conseils,


Tout fonctionne tip top


Le-Galérien