|
| Venomia | | Visiteur | | 295 messages postés |
|  Posté le 07-01-2004 à 00:11:11   
| Salut,
Je poste ce message depuis le pc d'un copain. Normalement comme vous le savez je devais lead un raid aujourd'hui, mais comme souvent dans la vie les trucs merdiques arrivent toujours quand il faut pas 
Je poste ceci dans le forum général pour avertir un max de monde afin qu'ils puissent se protéger à temps avant que la même crasse les arrive
J'ai été owned par un virus qui est passé sans problèmes à travers Norton Antivirus 2003 et mon fire-wall du même éditeur. La bestiole s'attaque aux Windows XP sans mot de passe administrateur (ce qui arrive souvent quand on n'est pas connecté à un réseau), à partir du service pack 1 tous les Win XP demandent lors de l'installation d'introduire un mot de passe admin, mais les anciennes (comme la mienne) n'avaient pas ces options et comme c'est le seul pc à la maison je ne me suis jamais amusé a en mettre un.
Donc le virus c'est chargé d'effacer tous mes comptes utilisateurs et à mettre un mot de passe dans le compte administrateur (ne me demandez pas comment), lors de l'infection je ne me suis absolument rendue compte de rien et j'ai éteint le pc (hier lundi) sans me douter de rien.
Aujourd'hui à 19h je l'allume et Win Xp se charge comme d'habitude, mais la première surprise, il ne dépasse plus l'écran de login et dans cet écran tous mes comptes utilisateurs (le mien, mon mari et mes enfants) ont disparu!!! Et même le bouton rouge "éteindre" à disparu aussi!! Bref seule solution, reboot et essayer les options de démarrage avec F8, je les ai toutes essayées... il se bloque chaque fois au même écran, enfin non bloquer n'est pas le juste mot, il m'affiche le logo Win Xp sur le bel écran bleu mais toutes les options de log in ont disparues 
Bon ben on va essayer en safe mode alors, quedalle rien du tout ca marche pas non plus... puis mon mari a la brilliante idée (il est déjà 21h alors et je m'ennerve car je ne suis pas au raid que j'ai organisé) de réparer Win XP depuis le CD original.
Deuxième surprise, après avoir sellectioné l'option "réparer l'installation existante" hop, soudain s'affiche : "Veuillez introduire votre mot de passe administrateur", et comme j'ai dit plus haut je n'en ai jamais mis!!! Bon ben on fait simplement enter et rien du tout bien sur "mot de passe incorrect", après 3 essais le pc redémarre...
Bref, seule solution encore envisageable, réinstaller Win XP en formattant le disque dur... j'ai des backups de mes documents importants mais bien sûr pas de mes jeux, donc je suis bon à tout réinstaller, rétélécharger mes patchs, extentions EQ comme LDON et Legacy of Ykesha et tout le bordel... 
Enfin faites gaffe et controlez vos accounts avant de fermer votre pc, car je ne vois pas d'autre explication qu'une saloperie de virus pour l'histoire qu'il m'est arrivé.
Je crois que j'en aurais pour plusieurs jours avant d'avoir tout remis en ordre. Enfin j'éspère que vous avez quand même sû faire le raid en mon abscence et que tout c'est bien passé...
--------------------
 |
|
| Perlle | | Membre | | 531 messages postés |
|  Posté le 07-01-2004 à 13:02:23
| Merci pour l'info Venomia, je vais veiller à mon tour sur mon pc.
Courage :-)))
|
|
| Mudra | | Visiteur |  | | 117 messages postés |
| Posté le 07-01-2004 à 14:44:20
| Ouch pas cool tout ca , je ne sais pas si c'est un virus mais ce qui est sur c'est que Norton et son firewall devrait faire partie de la cuisine dans la section passoire , j'en ai fait aussi l'experience , bon courage pour la reinstall
--------------------
|
|
| dream | | god le monde sans dragons sigh | | Visiteur |  | | 155 messages postés |
| Posté le 07-01-2004 à 17:10:50
| ceci dit rien ne t oblige a reinstaller eq sauvegarder le repertoire suffit a rejouer avec 
et au moins tu perd pas tes ui maps etc
Message édité le 07-01-2004 à 17:11:18 par dream
--------------------
Elandrael clerc pour jd |
|
| Venomia | | Visiteur | | 295 messages postés |
| Posté le 07-01-2004 à 20:10:09
| dream a écrit :
ceci dit rien ne t oblige a reinstaller eq sauvegarder le repertoire suffit a rejouer avec
et au moins tu perd pas tes ui maps etc |
Ben pour faire des sauvegardes il faut savoir déjà accèder aux données  impossible dans la situation dans laquelle je me suis trouvé, enfin j'ai trouvé une solution pour (presque) tout réparer sans devoir formatter, je la posterai bientôt avec les liens nécessaires et des explications parce que si ca vous arrive bonne chance de sortir de ce merdier, j'ai mis 2 jours pour tout trouver dans la Microsoft Knowledge Base et l'appliquer.
--------------------
|
|
| Chava | | Et ouais :p | | Visiteur | | 285 messages postés |
| |
| Morekak | | Un Viagra 100mg et sa repart! | | Membre | | 19 messages postés |
| Posté le 12-01-2004 à 16:27:44
| Venomia a écrit :
J'ai été owned par un virus qui est passé sans problèmes à travers Norton Antivirus 2003 et mon fire-wall du même éditeur. |
Alors j'ai aussi acheté ce produit et je prétend que c'est UNE BELLE MERDE!
Il y a des sites ou l'on peut lancer un AUTO-SCAN pour voir la fiabilité du Fire-Wall et "OH surprise!" il y a des ports qui restent encore ouvert.... Un exament des règles de filtre par défaut me fait SAUTER en l'air... Je vois qu'un port pour netmeeting reste ouvert et que diverses autres règles sont paramétrées n'importe comment par défaut... NON mais c'est N'IMPORTE quoi!!! J'ai pas net meeting et j'en ai rien à foutre de ce port qui est ouvert... Pour info j'ai appliqué le firewall avec les règles par dégfaut... Mon pc Ouvert ou éventré comme une pastèque..
Alors bon, pour éviter de tout réinstaller etc. J'ai activer EN PLUS le firewall de ma carte réseau sous windows XP qui donne sur le câblo-modem et oh victoire... Enfin j'ai un scan de ma machine propre et personne ne sais que j'existe à cette adresse IP...
Je tiens à préciser QUE SEUL un firewall HARDWARE et séparé physiquement de la machine permet une "assurance" que ni un cheval de trois ni un virus ne peut désactiver. (En effet plusieurs virus sont programés pour désactiver l'antivirus et les utilitaires sur la machine rendant de ce fait non utilisable les protection mises en place... - mais l'icone norton reste dessus comme si de rien était)
Encore une fois : JTC 
Voici un site ou l'on test votre vulnérabilité : https://grc.com/x/ne.dll?bh0bkyd2
UTILISEZ LE! Et compraez avec et sans firewall physique... vous allez tombez des nues!
Eric
--------------------
More Encore
Morekak Matrak
Iksar 65 Necro |
|
| Roitelet | | Hein ? | | Visiteur | | 31 messages postés |
| Posté le 13-01-2004 à 09:26:47
| Je viens de tester le site, et j'ai passé les 2 tests les plus à gauche (file sharing et common ports).
Le résultat, c'est que rien n'a pu filtrer, mon pc est resté complètement muet ; le test a eu beau le taunter, l'insulter en mettant gravement en cause sa famille, le flatter, le menacer, rien n'y a fait, mon pc a fait son autiste  .
Mon secret que c'est parce que je le vaux bien ? ZonAlarm, un pitit firewall qui paye pas de mine (ou un gros d'ailleurs peut-être, j'y connais queud). Seul problème, je dois le désactiver pour lancer EQ (le pc plante dès que eqgame cherche à faire des trucs), et c'est sûrement pas parce que je l'ai mal paramétré et que j'y comprends pouic  .
Voilà voilà, si ça peut donner des idées...
|
|
| Venomia | | Visiteur | | 295 messages postés |
| Posté le 13-01-2004 à 10:17:40
| Exact ZonAlarm est très bien, mais plus difficile d'emploi que son equivalent Norton, de plus il faut en effet désactiver le firewall pour pouvoir jouer à EQ. (c'est sûrement à ce moment que mon copain virus a fait son entrée)
Maintenant je suis passée à la version 2004 de Norton et je dois dire que c'est nettement mieux que ca version 2003, de plus le firewall de la version 2004 (une fois bien parametré, on peut le laisser actif même en jouant à EQ)
P.S. : J'ai pas encore trouvé le temps d'expliquer comment je me suis sorti de l'infection sans reformatter, je le ferais bientôt
--------------------
|
|
| Margaly | | Membre | | 858 messages postés |
| Posté le 13-01-2004 à 10:30:22 
| ben j ai zone alarm aussi mais j ai pas besoin de le desactiver pour jouer a EQ ... me demandez pas pourquoi ca marche pour moi et pas pour vous j en sais strictement rien mais ca marche 
--------------------
 |
|
| Morekak | | Un Viagra 100mg et sa repart! | | Membre | | 19 messages postés |
| Posté le 13-01-2004 à 15:41:26
| Alors là .. c'est incroyable... Vous devez désactiver votre firewall pendant que vous jouez à EQ ?? Et il reste desactiver combien de temps... ? 4 ou 5 heures de suite... Et vous le réactiver quand vous allez au lit ?? 
Pour vos infos, un pirate s'amuse pas a vister une adresse precise... Mais un lot d'adresse par exaemple de la 81.x.x.x à la 82.x.x.x (au hazard) il lance un scan automatique, et observe les adresses IP qui répondent et si oui, si il y a des ports ouvert, il cheche à y entrer.. Inutile de dire que ce genre de scan est ULTRA RAPIDE et que le simple fait de désactiver disons 5 min suffit AMPLEMENT à exploiter une faille de sécurité...
Je vous explique le principe d'un firewall, de manière très très simple, par défaut (pour le grand publique et même en entreprise) il laisse RIEN rentrer et TOUT sortir.
Un bon firewall laisse RIEN rentrer et RIEN sortir, et l'administrateur système ouvre gentillement tout les ports (en SORTIE uniquement et en ENTREE seulement si il y a un serveur -> WEB par exemple) dont on en a besoin : 80 pour le web, 7000 pour le patcher EQ etc.... tout le reste est bloqué.. Ce qui veut dire que si un virus essaye de sortir par le port libre 6400 ben il PEUT PAS... Physiquement parlant...
Et on ne peut pas outrepasser ce systeme. C'est un principe physique. Assez basique finalement. Mais comment font donc les pirates pour quand même rentrer.
Il faut savoir en premier qu'un firewall laisse rentrer QUE les informations d'origine demandé par l'ordinateur de départ. Ce qui veut dire que si vous interrogez un site, le site renvoye des données et le firewall "sais" que c'est VOUS (ou une application) et pas un autre ordinateur dans le monde qui à demandé ces données et laisse rentrer le paquet sur le pc. Donc le principe de piratage est simple. Il suffit d'envoyer un cheval de troie par email en PRIANT que l'antivirus est pas mis a jour ou incomplet ou inexistant. Une fois le cheval de toie dans la machine il va se comporter comme le pirate l'a voulu, il va simuler des requêtes depuis votre machine vers le pc pirate en demandant ce qu'il doit faire. Le pirate répond à son logiciel et le firewall laisse rentrer les instructions car la requête VIENS du poste. Et BINGO.... Votre pc est une grosse merde trouée de partout.... Avec ou sans firewall....
Il faut donc
- un antivirus MIS a jour
- un antis-pyware MIS a jour
- un firewall hardware si possible dont un virus peut pas le desactiver...
et et et et et PEU DE GENS se rendent compte, mais si vous travailler en utilisateur et PAS en administrateur de votre pc, un virus aura les droit d'un simple user et PAS d'un administrateur..... EH OUI ;-)
Ensuite bon un firewall a aussi ses bugs et ses faiblesses plein d'attack se font directement sur le firewall lui-même pour le trouer de force ou l'affaiblir... Mais faut déjà le vouloir.
Alors par PITIER trouver une solution mettez au moins le firewall de XP sur la carte réseau internet.. c'est mieux que rien vraiment !!!
Avoir un firewall et pas l'utiliser c'est ... inutile... autant le désactiver...
Amicalement
--------------------
More Encore
Morekak Matrak
Iksar 65 Necro |
|
| Venomia | | Visiteur | | 295 messages postés |
| Posté le 13-01-2004 à 15:51:37
| En parlant de ports ouverts, j'ai eue le port 5000 ouvert sur mon pc depuis belle lurette, Norton 2004 est enfin parvenu à le fermer, même Anti-Trojan n'y parvenait pas avant et ne détectait aucun cheval de troie...
Autre bizarrerie c'est que Norton Firewall 2004 détecte des fois l'activité d'un cheval de troie "Netbus" (et le bloque heureusement)mais que si je scan avec l'anti virus (et trojan) mise à jour je ne détecte rien. Je crois que c'est dû à Morpheus que j'utilise pour download des mp3 ect, mais depuis ma petite histoire, je ne suis plus sûr de rien...
--------------------
|
|
| Chava | | Et ouais :p | | Visiteur | | 285 messages postés |
| |
| Mudra | | Visiteur | | | 117 messages postés |
| Posté le 29-01-2004 à 11:05:09
| Au cas ou , voici un petit nouveau !!
Virus
Novarg.A
Novarg est un virus qui se propage par email et KaZaA. Il se présente sous la forme d'un message dont le titre est aléatoire, accompagné d'un fichier joint dont l'extension est .BAT, .CMD,.EXE, .PIF, .SCR ou .ZIP et dont l'icône est faussement souvent celle d'un simple fichier texte. Si ce fichier est exécuté, le virus s'envoie aux contacts dont les adresses figurent dans le carnet d'adresses Windows et divers autres fichiers, installe une backdoor et se copie sous divers noms aguicheurs dans le répertoire partagé via KaZaA
--------------------
|
|
| Titanor | | Ca sent l'coffin... | | Visiteur | | 9 messages postés |
| |
|
Dream et c clair que si tu connais kk'un ki une sauvegarde du répertoire d'EQ tu le copies et hop c bon, pas de patch (enfin s'il a le même nombre d'extension que toi) fo juste remplir la base de registre. 