Si tu ne sais pas, demande, si tu sais, partage !
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
Si tu ne sais pas, demande, si tu sais, partage !

Assistance Informatique Gratuite
 
AccueilAccueil  PortailPortail  RechercherRechercher  Dernières imagesDernières images  S'enregistrerS'enregistrer  Connexion  
Le deal à ne pas rater :
WD Green SN350 – Disque SSD interne NVMe M.2 – 2 To
99.99 €
Voir le deal

 

 AUTORITE NT\SYSTEM

Aller en bas 
2 participants
AuteurMessage
pruneau

pruneau


Nombre de messages : 66
Date d'inscription : 21/05/2005

AUTORITE NT\SYSTEM Empty
MessageSujet: AUTORITE NTSYSTEM   AUTORITE NT\SYSTEM EmptyDim 5 Fév - 19:34

Bonjour , dans mon observateur d'évènements,j'ai un avertissement "Applications" source "Userenv" utilisateur
"AUTORITE NT\SYSTEM" est-ce-que j'aurais un intrus dans ma machine ?

WinXP PRO Pack2 ; Merci de m'éclairer.
Revenir en haut Aller en bas
Adam
Rang: Administrateur
Adam


Nombre de messages : 1317
Date d'inscription : 29/09/2004

AUTORITE NT\SYSTEM Empty
MessageSujet: Re: AUTORITE NT\SYSTEM   AUTORITE NT\SYSTEM EmptyDim 5 Fév - 22:27

Le ver LovSan / Blaster est programmé de telle façon à scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille RPC sur le port 135.

Lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur le port TCP 4444, et force la machine distante à télécharger une copie du ver dans le répertoire %WinDir%\system32 en lançant une commande TFTP (port 69 UDP) pour transférer le fichier à partir de la machine infectée.

Une fois le fichier téléchargé, il est exécuté, puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Pour compléter le tableau, le virus LovSan/Blaster est prévu pour effectuer une attaque sur le service WindowsUpdate de Microsoft afin de perturber la mise à jour des machines vulnérables !!


Symptomes de l'infection


L'exploitation de la vulnérabilité RPC provoque un certain nombre de dysfonctionnements sur les systèmes affectés, liés à la désactivation du service RPC (processus svchost.exe / rpcss.exe). Les systèmes vulnérables présentent les symptomes suivants :

Copier/Coller défectueux ou impossible
Ouverture d'un lien hypertexte dans une nouvelle fenêtre impossible
Déplacement d'icones impossibles
fonction recherche de fichier de windows erratique
fermeture du port 135/TCP
Redémarrage de Windows XP : le système est sans cesse relancé par AUTORITE NT/system avec le(s) message(s) suivant(s) : Windows doit maintenant redémarrer car le service appel
de procédure distante (RPC) s'est terminé de façon inattendue
arrêt du système dans 60 secondes veuillez enregistrer
tous les travaux en cours cet arrêt a été initié par AUTORITE NT\SYSTEM
Windows doit maintenant demarrer
Eradiquer le virus


Pour éradiquer le ver LovSan, la meilleure méthode consiste tout d'abord à désinfecter le système à l'aide du kit de désinfection suivant :
Télécharger ici le kit de désinfection
http://www.commentcamarche.net/virus/desinfection.php3#blaster

Si votre système reboote continuellement, il faut désactiver le redémarrage automatique :
Dans un premier temps, faîtes Démarrer / Exécuter puis entrez la commande suivante permettant de repousser le redémarrage automatique : shutdown -a
Cliquez sur Poste de travail avec le bouton droit
Cliquez sur Propriétés / Avancé / Démarrage et récupération / Paramètres
Décochez la case "redémarrer automatiquement" !
Vous pourrez rétablir cette option lorsque votre système fonctionnera à nouveau normalement.


Il est ensuite indispensable de mettre à jour le système à l'aide du service Windows Update ou bien en mettant à jour votre système avec le patch suivant correspondant à votre système d'exploitation :

Patch pour Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=fr

D'autre part, dans la mesure où le virus se propage par l'intermédiaire du réseau Microsoft Windows, il est fortement conseillé d'installer un pare-feu personnel sur vos machines connectées à internet et de filtrer les ports tcp/69, tcp/135 à tcp/139 et tcp/4444.
Revenir en haut Aller en bas
 
AUTORITE NT\SYSTEM
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» system guard 2009
» Comment fonctionne System Recovery

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Si tu ne sais pas, demande, si tu sais, partage ! :: Catégorie à modifier... :: Forum SoSWindows-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser