Quelques questions de débutrant

Discussion in 'LnS French Forum' started by Wales, May 5, 2004.

Thread Status:
Not open for further replies.
  1. Wales

    Wales Guest

    bonjour, je viens d'installer LnS sur mon pc, celui ci est relié à directement à internet et à un autre pc.
    Dès le démarrage, j'ai 4 executable de WINDOWS/SYSTEM32
    - SVCHOST
    - LSASS
    - ALG
    - SMVSS
    qui tentent de se connecter à internet. Pouvez-vous me dire si c'est normal ou s'il s'agit de programme malveillant.
    Une autre question : si on prend l'exemple de la regle standart qui bloque le port 139 (arreter winnuke), telle qu'elle est ecrite, Cette regle ne fait-elle que bloquer mon port 139 TPC ou m'interdit-elle aussi de me connecter
    au port 139TCP de quelqu'un d'autre?
    Ce qui m'ammene une autre question quel interet j'ai d'empecher mon pc de se connecter à n'importe quel port (tcp ou udp) d'un autre pc?
    Merci d'avance à ceux qui peuvent m'eclairer.
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour Wales,

    SVCHOST est un service Windows lié notamment (par défaut) aux requêtes DNS, ce qui est tout a fait légitime et normal.
    LSASS est un service Windows egalement mais je trouve bizarre qu'il essai de se connecter.
    ALG est aussi un service Windows lié au firewall XP ou partage de connexion si je me souviens bien.

    Par contre, SMVSS n'est _pas_ un fichier systeme windows mais le virus w32.Dedler.worm.


    Désinfection :
    Je te conseil d'ouvrir le gestionnaire des tâches, de terminer le processus SMVSS.EXE, d'aller dans "C:\Windows\System32\" et de supprimer le fichier smvss.exe.

    Ensuite va dans :
    Démarrer -> Executer -> regedit

    puis dans :
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

    et supprimes l'entrée qui fait référence à "C:\Windows\System32\smvss.exe".

    Ensuite je te conseil d'installer un antivirus si tu n'en as pas, de le mettre à jour, et de scanner ton PC.
    Installe eventuellement un Anti Cheval de Troie tel que TDS3, met à jour, et scan également.

    Look'n'Stop t'aura au moins permis de voir que quelque chose n'allait pas :)

    Elle empeche un ordinateur distants de se connecter sur ton port 139, ET t'empeche également de te connecter vers un port distant 139.

    Si tu es infecté par un virus ou un vers, il y a des chances pour qu'il essais d'accéder à des ordinateurs non encore infectés via des ports "réservés" tels que 139, dans ce cas tu bloques l'infection.

    gkweb.
     
  3. wales

    wales Guest

    Merci beaucoup pour avoir pris le temps de me répondre. Je vais de ce pas arranger tout ça.
     
  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Il semblerait que LSASS (qui est un service windows) soit utilisé par le vers SASSER, donc vérifies que tu n'es pas infecté par celui ci également (généralement un processus AVSERVE.EXE ou AVSERVE2.EXE tourne).

    Un petit outil qui pourra t'aider une fois désinfecté à fermer des services Windows que les vers utilisent :
    http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/wwdc.htm

    Et ci dessous un jeux de régles anti-vers pour te protéger avec Look'n'Stop, même si par défaut tu dois l'etre, au moins ca enfonce le clou :
    http://perso.wanadoo.fr/jugesoftware/lns/Worms.rie
    (à importer depuis l'onglet filtrage internet)

    Tiens nous au courant :)

    gkweb.
     
  5. wales

    wales Guest

    J'ai trouvé un site où tout les process de windows sont analysé : http://prcwin.free.fr/
    effectivement, SMVSS n'a rien à faire là. J'ai mis mon antivirus à jour (Antivir personal edition) mais lui ne me trouve rien d'anormal, je lui ai même fait scanné le fichier smvss.exe et ça ne le perturbe pas dutout !!
    J'ai fait des recherches sur le virus en question mais je trouve relativement peu d'info. Du coup j'ai envie de le laissé quelques temps pour voir si une prochaine mise a jour le détecte (ce qui me permetrai de retrouver confiance en mon antivirus).
    Pour ce qui est de Windows Worms Doors Cleaner, il me trouve 4 warning sur 5 malgres les mises à jours windows et LnS actif, je ne sais pas si c'est normal mais je vais donc désactiver direct à partir de wwdc.
    Je me demande si je vais pas finir par devenir parano avec tout ça:)
     
  6. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Je n'ai pas ce fichier sur ma machine, et toute les références trouvées sur le net parle du virus cité plus haut, donc nul doute que tu es infecté, tu ne devrai pas "laisser pour voir".

    Je te conseil de faire un scan antivirus online avec norton :
    http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

    et de cliquer sur le bouton montré en capture d'écran.

    Sinon tu peux m'envoyer le fichier compressé sur gkweb @ wanadoo . fr
    (tout collé).

    A propos de windows worms doors cleaner, ca ne fait que te montrer tes services Windows a risques qui tournent et qui peuvent potentiellement être utilisés par des virus, a toi de voir ce que tu veux désactivé ou pas, c'est lié a de la configuration windows et non a des fonctionalités de firewall, donc pas de soucis avec Look'n'Stop ;)

    gkweb.
     

    Attached Files:

  7. wales

    wales Guest

    J'ai fait le scan en ligne de symantec qui m'a trouvé le fichier en question, pour info j'avais fait avant le scan en ligne du site secuser.com qui n'a rien trouvé. J'ai donc supprimé le fichier et son appel dans la base de registre.

    Donc merci déja pour ton aide et tant que j'y suis une autre petite question : j'ai installé le jeu de regles worms.rie et comme j'ai un autre pc branché sur celui-ci, j'ai mis "toutes" dans le champs "IP : Adresse" à la place de "egale mon @" pour les 4 règles. Est-ce une erreur ou est-ce qu'ainsi je protège aussi mon autre pc?
     
  8. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Non ça n'est pas une "erreur" mais ce n'est pas sûr que ca changera quelque chose.
    En fait même en laissant "egal @" ton PC derrière est protégé, car les paquets qui lui sont destinés passent nécessairement par ton modem, donc par ton IP (= "egale @").

    Mais dans le doute, mettre "Tous" ne peut pas être plus mal.

    Pour en être sûr, faire un test online depuis l'autre PC.

    gkweb.
     
Thread Status:
Not open for further replies.