info importante reboot du PC / faille RPC/TFTP virus blaster erreur AUTORITE NTSYSTEM

9 réponses

O.B. [MVP]

14/08/2003 à 18:14

bonjour,
bis et repetitas mais au vu des nombreuses demandes qui continuent d'affluer
sur les newsgroup ;-(

le virus w32.blaster.worm sévis particulièrement en ce moment :
pour s'en prémunir :
télécharger la mise à jour de sécurité Microsoft ms03-026 !!!!! concerne les
pc sous : Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft
Windows XP / Windows Server 2003
http://www.microsoft.com/france/securite/bulletins_securite/ms03-026.asp

soit par Windows update :
http://windowsupdate.microsoft.com/default.htm
soit par téléchargement individuel en fonction du système :
http://www.microsoft.com/france/securite/info/info.asp?mar=/france/technet/themes/secur/info/ms03-026.html

pour éviter ce genre de problèmes il est aussi plus que fortement conseillé,
outre l'application du correctif Microsoft, de mettre un pare-feu
........

POUR CEUX QUI SON INFECTÉ et donc rencontre des messages du type :

"Arrêt du système. Veuillez enregistrer tous les travaux en cours
et quitter votre session. Toutes les modifications non enregistrées seront
perdues.
Arrêt initié par AUTORITÉ NT\SYSTEM

....appels de procédure distante RPC ne s'est pas terminée correctement"

avec redémarrages intempestif du PC

cette action marche pour se débarrasser du vers w32.blaster.worm (j'ai testé
avec succès) :

1- pour les utilisateurs XP activer le pare-feu de XP (dans les propriété
réseau) pour les autres (NT/2000) essayez de faire rapidement ce qui est
décrit ci-dessous (car le virus peut vous faire rebooter avant le
téléchargement, j'ai testé en directe avec un de mes client) ou installer un
pare-feu (pas forcement évident avec un pc qui reboote quand il est sur
Internet)

ouvrir la liste des processus (faire CTRL+ALT+Supp, se rendre dans l'onglet
processus ou selon le système faire CTRL+ALT+Supp, choisir "gestionnaire des
taches" et se rendre dans l'onglet processus ).
Vérifier si "msblast.exe" est présent dans la liste des processus
S'il est présent le sélectionner et faire "terminer le processus" puis
accepter l'arrêt .

2 - télécharger et installer la mise à jour de sécurité Microsoft ms03-026
http://www.microsoft.com/france/securite/bulletins_securite/ms03-026.asp

soit par Windows update :
http://windowsupdate.microsoft.com/default.htm

soit par téléchargement individuel en fonction du système :
http://www.microsoft.com/france/securite/info/info.asp?mar=/france/technet/themes/secur/info/ms03-026.html

3- passer ensuite un des fix disponibles chez les éditeurs antivirus comme
par exemple celui de Norton :
http://securityresponse.symantec.com/avcenter/FixBlast.exe
après nettoyage il met entre autre : 1 file deleted, 1 registry entry
deleted

.........
plus d'info sur ce virus (en anglais) :
http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
plus d'info sur le fix Norton (en anglais) :
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

un autre virus Backdoor.IRC.Cirebot (Alias Worm.Win32.Autorooter.a) signalé
par Jack le 8/08/03 utilise la faille décrite dans le bulletin Microsoft
ms03-026
plus d'info sur Backdoor.IRC.Cirebot (en anglais) :
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html

d'autres virus du même genre vont probablement apparaître et votre antivirus
ne vous protégera pas forcement donc mettez vos Windows à jours tel que
décrits au début de ce post et installer un pare-feu ;-)

--
Olivier B.
[MVP Windows 2000]
"le savoir est fait pour être partagé"

merci de ne répondre QUE dans le newsgroup SVP

---

9 réponses

Thierry MILLE [MVP]

12/08/2003 à 18:25

"O.B. [MVP]" a écrit dans le message de
news:

bonjour,
bis et repetitas mais au vu des nombreuses demandes qui continuent
d'affluer

sur les newsgroup ;-(

Suivi sur microsoft.public.fr.windowsxp

le virus w32.blaster.worm sévis particulièrement en ce moment :
pour s'en prémunir :
télécharger la mise à jour de sécurité Microsoft ms03-026 !!!!! concerne
les

pc sous : Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft
Windows XP / Windows Server 2003

Pour WindowsXP 32 bits :
http://microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID#54406C-C5B6-44AC-9532-3DE40F69C074

Pour WindowsXP 64bits :
http://microsoft.com/downloads/details.aspx?FamilyId00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

Pour Windows 2000 :
http://microsoft.com/downloads/details.aspx?FamilyIdÈB8A846-F541-4C15-8C9F-220354449117&displaylang=fr

Pour le NT4, je crois que le correctif n'est pas 100% fiable
http://microsoft.com/downloads/details.aspx?FamilyId,C66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

Pour Terminal server :
http://microsoft.com/downloads/details.aspx?FamilyIdl0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Pour 2003 32bits :
http://microsoft.com/downloads/details.aspx?FamilyIdøE0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

Pour 2003 64 bits:
http://microsoft.com/downloads/details.aspx?FamilyId+566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

pour éviter ce genre de problèmes il est aussi plus que fortement
conseillé,

outre l'application du correctif Microsoft, de mettre un pare-feu
........

Il n'est pas fortement conseillé : il FAUT mettre d'abord un pare feu.
Mettre un hôte (d'autant plus : Microsoft) sur Internet sans pare feu c'est
comme une voiture avec les clés sur le contact.

1- pour les utilisateurs XP activer le pare-feu de XP (dans les propriété
réseau) pour les autres (NT/2000) essayez de faire rapidement ce qui est
décrit ci-dessous (car le virus peut vous faire rebooter avant le
téléchargement, j'ai testé en directe avec un de mes client) ou installer
un

pare-feu (pas forcement évident avec un pc qui reboote quand il est sur
Internet)

L'installation d'un pare feu peut se faire hors connexion, d'ailleurs pour
qu'ICF prenne en compte les modifications, la déconnexion est obligatoire.

Cordialement

--
Thierry MILLE
[MCSE/MVP/MSAE] - www.afib.fr
+ de 1000 Trucs de Pros sur Windows XP
www.microapp.com/fiche_produit.cfm?ref_produit971

"O.B. [MVP]" <olivier-b@tiscali.fr> a écrit dans le message de
news:uxtVY0OYDHA.1736@TK2MSFTNGP10.phx.gbl...

bonjour,
bis et repetitas mais au vu des nombreuses demandes qui continuent
d'affluer

sur les newsgroup ;-(

Suivi sur microsoft.public.fr.windowsxp

le virus w32.blaster.worm sévis particulièrement en ce moment :
pour s'en prémunir :
télécharger la mise à jour de sécurité Microsoft ms03-026 !!!!! concerne
les

pc sous : Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft
Windows XP / Windows Server 2003

pour éviter ce genre de problèmes il est aussi plus que fortement
conseillé,

outre l'application du correctif Microsoft, de mettre un pare-feu
........

Il n'est pas fortement conseillé : il FAUT mettre d'abord un pare feu.
Mettre un hôte (d'autant plus : Microsoft) sur Internet sans pare feu c'est
comme une voiture avec les clés sur le contact.

1- pour les utilisateurs XP activer le pare-feu de XP (dans les propriété
réseau) pour les autres (NT/2000) essayez de faire rapidement ce qui est
décrit ci-dessous (car le virus peut vous faire rebooter avant le
téléchargement, j'ai testé en directe avec un de mes client) ou installer
un

pare-feu (pas forcement évident avec un pc qui reboote quand il est sur
Internet)

Vous avez filtré cet utilisateur ! Consultez son message

"O.B. [MVP]" a écrit dans le message de
news:

bonjour,
bis et repetitas mais au vu des nombreuses demandes qui continuent
d'affluer

sur les newsgroup ;-(

Suivi sur microsoft.public.fr.windowsxp

le virus w32.blaster.worm sévis particulièrement en ce moment :
pour s'en prémunir :
télécharger la mise à jour de sécurité Microsoft ms03-026 !!!!! concerne
les

pc sous : Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft
Windows XP / Windows Server 2003

pour éviter ce genre de problèmes il est aussi plus que fortement
conseillé,

outre l'application du correctif Microsoft, de mettre un pare-feu
........

Il n'est pas fortement conseillé : il FAUT mettre d'abord un pare feu.
Mettre un hôte (d'autant plus : Microsoft) sur Internet sans pare feu c'est
comme une voiture avec les clés sur le contact.

1- pour les utilisateurs XP activer le pare-feu de XP (dans les propriété
réseau) pour les autres (NT/2000) essayez de faire rapidement ce qui est
décrit ci-dessous (car le virus peut vous faire rebooter avant le
téléchargement, j'ai testé en directe avec un de mes client) ou installer
un

pare-feu (pas forcement évident avec un pc qui reboote quand il est sur
Internet)

O.B. [MVP]

12/08/2003 à 18:49

bonjour Thierry et autres lecteurs,

Thierry MILLE [MVP] ecrit dans son message :

Pour WindowsXP 32 bits :
Pour WindowsXP 64bits :
Pour Windows 2000 :
Pour le NT4, je crois que le correctif n'est pas 100% fiable
Pour Terminal server :
Pour 2003 64 bits:
en fait tous les liens sont apparemment sur cette page que j'ai indiqué

http://www.microsoft.com/france/securite/info/info.asp?mar=/france/technet/themes/secur/info/ms03-026.html

me suis donc pas embété à les mettres 1 par 1 ;-)
mais sur ça peut aider

Il n'est pas fortement conseillé : il FAUT mettre d'abord un pare feu.
Mettre un hôte (d'autant plus : Microsoft) sur Internet sans pare feu
c'est
comme une voiture avec les clés sur le contact.
sur mais à chacun son libre arbitre, y'en a qui aiment chopper des virus et

se faire pirater lol
rofl

L'installation d'un pare feu peut se faire hors connexion, d'ailleurs
pour
qu'ICF prenne en compte les modifications, la déconnexion est
obligatoire.
oui mais pour le télécharger je suppose qu'il faut être sur Internet qui

justement reboote lol
c'est pour ça que j'ai précisé de faire l'opération de téléchargement du
ms03-026 "rapidement" :-D
bien sur dans le cas ou on a qu'une bécane ;-)

Cordialement
idem

et @+ Thierry

--
Olivier B.
[MVP Windows 2000]
"le savoir est fait pour être partagé"

merci de ne répondre QUE dans le newsgroup SVP

---

Thierry MILLE [MVP]

12/08/2003 à 19:01

"O.B. [MVP]" a écrit dans le message de
news:

bonjour Thierry et autres lecteurs,

Thierry MILLE [MVP] ecrit dans son message :
Pour WindowsXP 32 bits :
Pour WindowsXP 64bits :
Pour Windows 2000 :
Pour le NT4, je crois que le correctif n'est pas 100% fiable
Pour Terminal server :
Pour 2003 64 bits:
en fait tous les liens sont apparemment sur cette page que j'ai indiqué

http://www.microsoft.com/france/securite/info/info.asp?mar=/france/technet/themes/secur/info/ms03-026.html

Autant dire que le site est dans le coma ... et que ceux qui ont le
problème n'ont pas forcément le temps (ils avaient près d'un mois ...) de
parcourir toutes les pages avant que la machine redémarre ;-))

L'installation d'un pare feu peut se faire hors connexion, d'ailleurs
pour
qu'ICF prenne en compte les modifications, la déconnexion est
obligatoire.
oui mais pour le télécharger je suppose qu'il faut être sur Internet qui

justement reboote lol

Ah bon ? C'est un scoop ?

Bien amicalement

--
Thierry MILLE
[MCSE/MVP/MSAE] - www.afib.fr
+ de 1000 Trucs de Pros sur Windows XP
www.microapp.com/fiche_produit.cfm?ref_produit971

F. Dunoyer

13/08/2003 à 17:03

O.B. [MVP] wrote:

bonjour,
bis et repetitas mais au vu des nombreuses demandes qui continuent
d'affluer
sur les newsgroup ;-(

le virus w32.blaster.worm sévis particulièrement en ce moment :
pour s'en prémunir :
télécharger la mise à jour de sécurité Microsoft ms03-026 !!!!!
concerne les
pc sous : Microsoft Windows NT 4.0 / Microsoft Windows 2000 /
Microsoft
Windows XP / Windows Server 2003
http://www.microsoft.com/france/securite/bulletins_securite/ms03-026.asp

soit par Windows update :
http://windowsupdate.microsoft.com/default.htm
soit par téléchargement individuel en fonction du système :

http://www.microsoft.com/france/securite/info/info.asp?mar=/france/technet/themes/secur/info/ms03-026.html

Bonjour

J'ai des probleme pour passer ce patch
Apres application du patch 823980 sur un Windows 2000 SP 4 via le Windows
Update, je reboote et au redemarrage apres identification je n'ai pas acces
à l'explorer.

J'ai un bureau vide
Je peux lancer le gestionnaire de taches.
Mais je ne peux pas executer ni explorer ni iexplorer ni même controle.exe
Je peux par contre desinstaller le patch et tout redeviens normal

J'ai fait plusieurs essais.
j'ai desactive le fiorewall, l'antivirus, le plus de services possible mais
sans succes.

Quelqu'un aurait il eu un problème similaire ?
Auriez vous une piste?

cdt

--
François Dunoyer
Quelques trucs et des astuces pour Windows
Voir : http://fdunoyer.free.fr/ta/ta.htm
Site perso : http://www.dunoyer.tk

O.B. [MVP]

13/08/2003 à 17:10

bonjour F. Dunoyer et autres lecteurs,

F. Dunoyer ecrit dans son message :

Bonjour
J'ai des probleme pour passer ce patch
Apres application du patch 823980 sur un Windows 2000 SP 4 via le
Windows
Update, je reboote et au redemarrage apres identification je n'ai pas
acces
à l'explorer.

J'ai un bureau vide
Je peux lancer le gestionnaire de taches.
Mais je ne peux pas executer ni explorer ni iexplorer ni même
controle.exe
Je peux par contre desinstaller le patch et tout redeviens normal

J'ai fait plusieurs essais.
j'ai desactive le fiorewall, l'antivirus, le plus de services
possible mais
sans succes.

Quelqu'un aurait il eu un problème similaire ?
Auriez vous une piste?

cdt
éventuellement si pas déjà fait désinstaller le, et passer le fix de norton

voir si vous n'avez pas le virus.
ensuite essayez de le réinstaller (soit par windows update soit en manuel)

--
Olivier B.
[MVP Windows 2000]
"le savoir est fait pour être partagé"

merci de ne répondre QUE dans le newsgroup SVP

---

F. Dunoyer

13/08/2003 à 17:52

O.B. [MVP] wrote:

bonjour F. Dunoyer et autres lecteurs,

F. Dunoyer ecrit dans son message :
Bonjour
Apres application du patch 823980 sur un Windows 2000 SP 4 via le
Windows
Update, je reboote et au redemarrage apres identification je n'ai pas
acces à l'explorer.

J'ai un bureau vide
Je peux lancer le gestionnaire de taches.
Mais je ne peux pas executer ni explorer ni iexplorer ni même
controle.exe
Je peux par contre desinstaller le patch et tout redeviens normal

J'ai fait plusieurs essais.
j'ai desactive le fiorewall, l'antivirus, le plus de services
possible mais sans succes.

éventuellement si pas déjà fait désinstaller le, et passer le fix de
norton voir si vous n'avez pas le virus.
ensuite essayez de le réinstaller (soit par windows update soit en
manuel)

A priori je n'ai pas le virus.
Je ne suis pas directement connecté sur le net.
La machine et le proxy devant sont équipée de firewall (mais sait on jamais)
J'ai passé l'outils de symantec sans remarque particuliere
je n'ai pas le msblast dans les taches ni de fichier qui porte ce nom ou de
dérivés.
Si qq un a une piste je suis preneur.
Merci

AdminSF

14/08/2003 à 13:37

Bonjour Olivier

Je suis un peu écoeuré par certaines réponses faites sans penser que
les gens qui appellent au secours n'ont souvent que quelques instants
de connexion devant eux.

Et dans ces conditions, alors que c'est en plus souvent la première
fois qu'ils utilisent un forum......

Donc, une fois n'est pas coutume, je me suis permis de te plagier pour
répondre à quelques uns.

Mais si tu n'es pas d'accord, dis-le. Je m'empresserai de supprimer
toute référence à la source :-))

Bonne continuation.

"O.B. [MVP]" a utilisé son clavier pour écrire :

bonjour,
bis et repetitas mais au vu des nombreuses demandes qui continuent d'affluer
sur les newsgroup ;-(
....................

--
A bientôt

O.B. [MVP]

14/08/2003 à 15:48

bonjour AdminSF et autres lecteurs,

AdminSF ecrit dans son message :

Donc, une fois n'est pas coutume, je me suis permis de te plagier pour
répondre à quelques uns.

Mais si tu n'es pas d'accord, dis-le. Je m'empresserai de supprimer
toute référence à la source :-))

Bonne continuation.

pas de problème mes post sont là pour aider, et les newsgroup aussi ;-)
autres info :

malgrés l'activation du pare-feu il semble que des PC continuent à rebooter
et que msblast.exe n'apparaissent plus dans les processus aprés cette
activation (variante du virus ? ou évolution ?)

solution 1 : verifier que rien n'est coché dans les paramêtres du pare-feu
(a marché pour certain mais pas tous)
solution 2 : changer la date du PC (mettre date avant l'attaque, a marché
pour certain pas tous)
solution 3 : ne télécharger en 1er que le fixblast.exe de norton en allant
trés trés vite, l'appliquer et après mettre le correctif MS

--
Olivier B.
[MVP Windows 2000]
"le savoir est fait pour être partagé"

merci de ne répondre QUE dans le newsgroup SVP

---

Thierry NARDOUX [MCP]

14/08/2003 à 16:30

Salut à tous,

Effectivement ce n'est peut-être pas msblast.exe mais teekids.exe !!! C'est
(déjà) la variante B de ce virus.

L'enregistrement en BDR est légèrement différent.

L'insulte inclue dans le source du ver est différente.

Infos trouvée ici -->
http://www.sophos.com/virusinfo/analyses/w32blasterb.html

Bon courage à tous ... Et sortez couverts ...

--
////////////////////
Vous aimez le rallye ?
Visitez : http://www.chronoespoir.fr.st (Nouvelle version, en construction)

"O.B. [MVP]" a écrit dans le message de
news:

bonjour AdminSF et autres lecteurs,

AdminSF ecrit dans son message :
Donc, une fois n'est pas coutume, je me suis permis de te plagier pour
répondre à quelques uns.

Mais si tu n'es pas d'accord, dis-le. Je m'empresserai de supprimer
toute référence à la source :-))

Bonne continuation.

pas de problème mes post sont là pour aider, et les newsgroup aussi ;-)
autres info :

malgrés l'activation du pare-feu il semble que des PC continuent à
rebooter

et que msblast.exe n'apparaissent plus dans les processus aprés cette
activation (variante du virus ? ou évolution ?)

solution 1 : verifier que rien n'est coché dans les paramêtres du pare-feu
(a marché pour certain mais pas tous)
solution 2 : changer la date du PC (mettre date avant l'attaque, a marché
pour certain pas tous)
solution 3 : ne télécharger en 1er que le fixblast.exe de norton en allant
trés trés vite, l'appliquer et après mettre le correctif MS

--
Olivier B.
[MVP Windows 2000]
"le savoir est fait pour être partagé"

merci de ne répondre QUE dans le newsgroup SVP

---

info importante reboot du PC / faille RPC/TFTP virus blaster erreur AUTORITE NTSYSTEM

9 réponses

Veuillez sélectionner un problème