MAJ du 23/01/04
 
Repérer et supprimer le virus Blaster, ses variantes et autres
 
Depuis son apparition au mois d?Août 2003, le virus Blaster (ou Lovesan) a fait couler beaucoup d?encre. A l?origine propagé sous forme d?une seule et même variante, de nouvelles formes n?ont pas tardé à envahir le net. Plus difficiles à détecter et à éradiquer, elles font régulièrement des dégâts chez les utilisateurs non protégés ou sur les réinstallations fraîches non patchées. Dans tous les cas, la désinfection, le nettoyage puis la protection est possible sans recourir à un formatage.
 
Symptômes d?une infection par Blaster ou assimilés
 
Le virus original provoquait un plantage du service RPC lors de son intrusion dans le système, plantage qui se traduisait en pratique par l?apparition d?une fenêtre de fermeture administrative et du départ d?un décompte de 60 secondes avant arrêt. Le virus désactivait aussi la fonction de copier-coller et certaines pages devenaient inaccessibles sous Internet Explorer.
 
Les quelques variantes qui ont suivies n?apportaient rien de nouveau, si ce n?est que le nom du fichier hôte sur le système changeait (teekids, mslaugh32, etc.).
 
Plus récemment, de nouvelles variantes plus vicieuses ont fait leur apparition. D?une part, leur nom est plus ou moins aléatoire et imite le nom d?un processus système, voire même utilise le même nom mais en se chargeant depuis un emplacement différent. Certaines variantes démarrent même sous forme de service, faisant gonfler une instance de svchost, le programme système Windows assurant l?exécution des services. D?autre part, ils neutralisent une longue liste d?outils pouvant vous permettre de neutraliser le virus puis vous protéger, à commencer par les correctifs WindowsUpdate, les antivirus les plus connus, ou encore Regedit.  
 
Dans la pratique, le désagrément le plus notable est une montée de l?usage processeur à 100% en permanence ou presque, ce qui rend le poste inutilisable.
 
Détecter le virus
 
Le virus s?exécute depuis un fichier individuel ou sous forme de service. Le fichier infecté se trouve dans presque tous les cas dans les programmes lancés au démarrage ou dans les services Windows. Dans la quête du fichier infecté, nous allons nous servire de Tasklist qui est un outil intégré dans Windows XP Pro affichant la liste des processus lancés en mémoire ainsi que le nom des services se cachant derrière les hôtes génériques svchost.  
 
Notes :  
 
- Tasklist n?est pas distribué avec Windows XP édition familiale. Vous pouvez le télécharger ici : http://www.computerhope.com/downlo [...] sklist.exe  
 
- Sous Windows 2000, l?alternative à tasklist se nomme tlist, que vous trouverez dans le kit de ressources présent sur le CD d?installation (SUPPORT/TOOLS/2000RKST.CAB).
 
Lancez un invite de commandes depuis le menu démarrer, Exécuter, « cmd » puis à l?invite, tapez  « tasklist /svc » ou « tlist ?s » selon que vous soyez respectivement sous Windows XP ou Windows 2000..
 
La commande « tasklist /svc » génère un retour de ce type :
 

 
Soit la liste de tous les programmes en cours d?exécution au moment du lancement de la commande. Notez, dans la colonne Services, le nom des différents services hébergés par les instances du processus système Microsoft Windows SVCHOST (SerViCes HOST ? Hôte de services).
 
Déterminer quel est le service ou le programme malin n?est pas toujours l?étape la plus facile. Le déguisement des processus est souvent relativement grossier, le fichier infecté portant un nom comme scvhost.exe, svdhost.exe, explorer32.exe, explore.exe, proche de celui d?un exécutable Windows existant.
 
Pour les services, vous pouvez rechercher avec Google en tapant «Windows service <nom_du_service>» des informations sur ceux qui peuvent paraître louche. Si aucun résultat n?indique que le processus est système ou lié à une application classique, il pourra être suspecté.
 
Si aucun service et programme ne semble suspect, il ne faut pas oublier que le fichier infecté porte parfois le même nom qu?un exécutable Windows. Celui-ci se charge alors depuis un autre répertoire que le répertoire usuel, par exemple system32 au lieu de system, et inversement.
 
Le très bon logiciel HijackThis est une bonne alternative à tasklist, qui va nous offrir les chemins de chaque programme lancé au démarrage. Il est disponible sur le site http://www.tomcoyote.org/hjt/
 
Lancez le, appuyez sur le bouton scan, puis observez la liste retournée. Les programmes lancés au démarrage sont visibles dans les lignes débutant par « 04 ? HKLM\..\Run: ». Faites une recherche, éventuellement ligne après ligne, des fichiers avec leur chemin sur Google ou sur http://www.sysinfo.org/startuplist.php pour déterminer s?il s?agit d?un fichier utile ou non.
 
En cas de découverte d?un processus malsain, quelques outils seront nécessaires pour le supprimer. Vous pourrez utiliser HijackThis ou StartupCPL, disponible ici : http://www.mlin.net/files/StartupCPL.zip
 
En prévision de la désinfection
 
Une fois le nettoyage réalisé en mode sans échec, il faudra se protéger afin de ne plus être l?objet de nouvelles infections par des variantes de Blaster. Pour ceci, il vous faudra installer quelques correctifs avant de vous reconnecter à Internet. Débranchez donc physiquement votre modem avant d?en avoir fini avec les mises à jour.
 
Mises à jour pour Windows XP :
 
-> KB826939 <-
-> KB823182 <-
-> KB824141 <-
-> KB825119 <-
-> KB828035 <-
-> KB828028 <- nouveau (10/02/2004)
 
Mises à jour pour Windows 2000 (SP2 ou + nécessaire)
 
-> KB823980 <-
-> KB824146 <-
-> KB828749 <-
-> KB828028 <- nouveau (10/02/2004)
 
 
Suppression du virus
 
Une fois le fichier identifié et les correctifs adaptés en votre possession, redémarrer le poste, appuyez sur F8 au moment du démarrage de l?OS (juste avant l?affichage de la barre blanche), puis choisissez «Mode sans échec»
 
Pour un processus :
 
Une fois parvenu sur le bureau, utilisez HijackThis ou StartupCPL pour supprimer le fichier du lancement de la machine.
 
Avec HijackThis : cliquez sur « scan », cochez la case de la ligne correspondant au fichier infecté, puis cliquez sur « Fix this »
 
Avec StartupCPL, installé dans le panneau de configuration (icône Startup) : parcourez les onglets jusqu'à trouver le fichier infecté, décochez le.
 
Recherchez ensuite le fichier depuis la racine du disque et supprimez le.
 
Pour un service :
 
Lancez l?éditeur de base de registre depuis le menu démarrer, Exécuter, regedit. Recherchez le nom du service malin. Ces recherches devraient vous mener dans les arborescences suivantes :
 
HKLM\SOFTWARE\SYSTEM\ControlSet001\Services\  
HKLM\SOFTWARE\SYSTEM\ControlSet002\Services\  
 
Repérez le nom du fichier associé au service indiqué dans la variable «ImagePath», et supprimez les fichiers référencés. Supprimez ensuite toutes les entrées correspondant au service malin dans ControlSet001 et 002.
 
Une fois le nettoyage effectué, débranchez physiquement votre modem, redémarrez normalement, et contrôlez l?absence de symptômes. Installez ensuite les correctifs, redémarrez à nouveau, puis rebranchez votre modem.
 
Pour supprimer les résidus ou certains virus plus communs
 
Rien de tel qu?un bon antivirus en ligne ou un outil dédié :
 
 
Stinger de MacAfee
 
CLRAV de Kaspersky
 
L'antivirus en ligne sur http://housecall.antivirus.com
 
Ne plus être ennuyé par les tentatives d?intrusion directes (Blaster et variantes)
 
Vous utilisez une connexion câble ou ADSL ? rien de mieux qu?un bon routeur ou modem routeur matériel afin d?en finir avec ce genre de désagréments.

merci Slyde,t'es un chef
 
   

c'est fait !!
 
pour info, les deux fichiers incriminés se nommaient :
 
mplayer et explore.exe
 
ils etaient tous les deux dans system32
 
j'ai tout viré et mis les 5 correctifs dans l'ordre et ça rullez

bien moi il avais po le meme nom comme koi.....

le nom peut être super variable, ainsi que le nom du service.

up, ajout des liens directs.

et les patchs pr Windows US ont les memes noms ?

tres utile ce topic  

 
non, ENU au lieu de FRA.

Salut
 
j'ai bien essayé les manips pour resoudre mon pb d'UC a 100% mais sans succes
 
Je suis perdu  

Et qd je ferme un des processus svchost.exe ben la je me retrouve avec la fentre ki reboot le PC ds 1mn
je viens de lancer FixBlast et il ne trouve rien

Tu as forcement un processus malsain avec un virus derrière si tu as le problème de charge.
 
Installe le kit de ressources depuis ton CD de Windows 2000, dans SUPPORT/TOOLS/2000RKST.CAB.
 
fais un windows+R => cmd => tlist -s et colle le résultat ici.

heuu ca marche aussi avec Xp pro sp1 ?

tasklist /svc dans ce cas.

Voila ce que ca donne :
 
C:\>tasklist /svc
 
Nom de l'image              PID  Services
========================= ====== =============================================
System Idle Process            0 N/D
System                         4 N/D
smss.exe                     864 N/D
csrss.exe                    936 N/D
winlogon.exe                 960 N/D
services.exe                1004 Eventlog, PlugPlay
lsass.exe                   1016 PolicyAgent, ProtectedStorage, SamSs
ati2evxx.exe                1176 Ati HotKey Poller
svchost.exe                 1200 RpcSs
svchost.exe                 1504 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
                                 ERSvc, EventSystem,
                                 FastUserSwitchingCompatibility, helpsvc,
                                 lanmanserver, lanmanworkstation, Messenger,
                                 Netman, Nla, RasAuto, RasMan, Schedule,
                                 seclogon, SENS, SharedAccess,
                                 ShellHWDetection, srservice, TapiSrv,
                                 TermService, Themes, TrkWks, uploadmgr,
                                 W32Time, winmgmt, wuauserv, WZCSVC
svchost.exe                 1852 Dnscache
svchost.exe                 1876 LmHosts, RemoteRegistry, SSDPSRV, upnphost,
                                 WebClient
ccSetMgr.exe                 196 ccSetMgr
spoolsv.exe                  492 Spooler
ati2evxx.exe                 560 N/D
explorer.exe                 664 N/D
daemon.exe                   880 N/D
E_S10IC2.EXE                 916 N/D
LVComS.exe                   928 N/D
LogiTray.exe                1076 N/D
CTHELPER.EXE                1092 N/D
atiptaxx.exe                1284 N/D
svdhost.exe                 1292 N/D
wmplay32.exe                1308 N/D
MBM5.exe                    1352 N/D
ctfmon.exe                  1368 N/D
msnmsgr.exe                 1400 N/D
devldr32.exe                1580 N/D
alg.exe                     2352 ALG
svchost.exe                 3416 stisvc
IEXPLORE.EXE                2752 N/D
cart322.exe                 3332 a3
AcroRd32.exe                3576 N/D
snmp.exe                    3044 SNMP
snmptrap.exe                4044 SNMPTRAP
cisvc.exe                   2068 cisvc
cidaemon.exe                3488 N/D
cmd.exe                     2440 N/D
tasklist.exe                1528 N/D
wmiprvse.exe                2552 N/D
 
 
Merci pour l'aide

Hum :
 
 
svdhost.exe                 1292 N/D
 

C'est bien gentil tout ça les gars mais ce serait encore mieux d'empêcher le virus de s'installer.
Il y a beaucoup plus simple, sécurisant et infaillible, le chien de garde de la BdR. Comme ne le dit pas slyde explicitement, les virus (99% d'entre eux) s'assurent leur survie en créant une entrée dans la BdR aux fameuses clés Run. Il suffit donc d'avoir un programme qui traque les  mouvements de ces clés et avertit dès qu'une nouvelle clé veut s'y créer ou y être modifiée. Attention au fait que certaines clés créées là sont légitimes, lors de l'installation d'un nouveau logiciel, par exemple. Mais si vous surfez et que soudainement, on vous signale qu'une nouvelle clé va être écrite, il y a de quoi se méfier et interdire l'écriture.
 
L'outil s'appelle RegistryProt, freeware de 100 KB (!), 0% du CPU, le rêve. Il marche pour tous les Win.
 
Plus de détails dans mon sujet ici : http://forum.pcastuces.com/sujet.asp?SUJET_ID=32169
 
voici une réponse des concepteurs de RP à ma question sur les clés contrôlées :

 
J'ai écrit au site Secuser.com, m'étonnant qu'ils n'en parlent pas, ils ont répondu qu'ils comptent faire bientôt un article au sujet de ce genre de logiciels. Je trouve d'ailleurs très surprenant que dans les usines à gaz que sont les antivirus, il n'y ait pas un module permettant ce contrôle qui est pourtant tout simple à faire. Ou alors, les concepteurs d'antivirus auraient-ils un intérêt à ne pas incorporer cette fonctionnalité ?
 
En tout cas, RegistryProt aurait permis aux gens n'ayant pas le patch MS d'être prévenu de l'intrusion de Blaster et ainsi, empêcher son démarrage. Rien que pour ça, il en vaut la peine, je trouve.
Il y a d'autres logiciels qui font pareils mais ce ne sont généralement pas des freeware.
 
bounty, le processus wmplay32.exe, tu peux aussi t'en débarrasser, ça doit être un virus.
 
Je préconise HijackThis pour ce genre de problème, il montre le nom du répertoire d'où est lancé chaque programme, une lacune du tasklist et même, du gestionnaire du tâches qui parmi toutes ses options, n'en a même pas une pour montrer le chemin complet de l'exécutable, à se demander parfois ce qui se passe dans la tête des analystes de chez MS. Avec Hijack, on voit aussi toutes les clés Run, les spyware, etc.
 
Voir ici pour HijackThis : http://assiste.free.fr/p/internet_ [...] hijack.php

Petit problème, ça ne marche pas pour les variantes en services ton histoire. Et mon topic traite principalement de ça

Comment ils démarrent tes services ? Il y a bien une clé Run qui est créée à un moment ou un autre. Donne un exemple SVP.

non, il n'y a pas de clé RUN, puisqu'il ne sont pas inscrit en tant que programme de démarrages. Ils viennent se coller dans les services sous  
 
HKLM\SOFTWARE\SYSTEM\ControlSet001\Services\, idem pour ControlSet002.
 
Sous windows 2000, pareil je suppose sous XP.

Bon moi voilà de nouveau en galère, mon PC bloque de nouveau.
Donc j'avais blaster (teekids, msblast, mslaugh) et j'ai dû faire au moins 5 version différente d'"éradication" pour les virer.
 
Il marchait niquel pendant 2 semaines, et aujourd'hui re-bloque.
Je vais dans gestionnaire des tâches pour voir si y a pas un msblast qui traine, mais je m'aperçois qu'il y a des trucs bizarre.
-msconfig.exe
-smss.exe
-csrss.exe
-isass.exe
-service.exe
En fait j'avais vu dans un topic consacré à blaster que c'était des variantes très proche des truc originaux du style csrss pour crss.
J'ai suivi la procédure de SLYDE à s'avoir identifier la merde dans gérer (c'est lequel le service en anglais ? je suis pas sur d'avoir le bon) et installer les patch, et ça donne aucun résultat.
Ils sont toujours là et svchost bouffe encore plus, qu'est-ce qu'il faut faire?
 
ps: dans regedit pour supprimer le fichier suspect c'est bien
 
-hey local machine,
-software,
-

merde il manque la suite:
-microsoft,
-windows,
-run   ?
J'ai juste ou pas?

Ou alors qu'est-ce qui faut désactiver dans msconfig pour éviter qu'il le relance à chaque fois?

A ma connaissance, Blaster et ses clones écrivent toujours une clé dans la BdR. En voici la preuve, tirée de cette page :  
http://www.pacs-portal.co.uk/start [...] up_all.php (elle fait plus d'un 1 MB), elle me sert à interpréter ce que Hijack produit comme liste.
 

 
Le X au début signifiant que c'est un virus. Si tu regardes bien, ces entrées sont dans les clés Run, de manière à être présentes au prochain démarrage. Donc, j'aimerais que tu me donnes un exemple de variante Blaster qui n"écrit pas dans les clés Run, je suis curieux de voir.
Les svchost.exe dont tu parles sont simplement dans un autre répertoire que system32. Voici que j'ai trouvé sur le lien ci-dessus :
 

 
Tu comprends donc que ce n'est pas parce qu'un programme s'appelle svchost.exe qu'il s'agit d'un service (valide ou non, d'ailleurs).
 
Même si tu trouves de "vrais" virus en services, ce serait dommage de se priver de RegistryProt puisque comme je l'ai déjà dit, la majorité des virus passe par les clés Run. On va dire que c'est un complément à ce que tu proposes.

KB826939 <-  
-> KB823182 <-  
-> KB824141 <-  
-> KB825119 <-  
-> KB828035 <-  
J'applique les patchs dans cet ordre la?
 
merci

pgriffet => il y a bel et bien des variantes en services, j'ai bien du en virer déjà 10 fois ces derniers jours, la prochaine fois je te prend une capture.
 
Saterzo => après avoir identifié les services malsain, il faut démarrer en mode sans echec, lancer regedit, faire une recherche sur le nom du service en question, et dégager les clés trouvés dans  
 
HKLM\SOFTWARE\SYSTEM\ControlSet001\Services\
HKLM\SOFTWARE\SYSTEM\ControlSet002\Services\
 
Redémarrer, et bien sur appliquer les correctifs.
 
 
Si tu as un doute sur le nom d'un service ou d'un processus, google est ton meilleur ami.
 
stanleymilgram => l'ordre n'a pas grande importance.

Saterzo, les programmes que tu cites sont des noms valides. Mais comme je l'ai dit, tasklist (ou tlist) a une grosse lacune, il ne montre pas le répertoire où se trouve le programme. Donc, je ne peux te dire si ce sont les bons ou des virus qui porteraient le même nom.
Je te propose de lire mon sujet : http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Explications en français sur HijackThis
 
http://assiste.free.fr/p/internet_ [...] hijack.php
 
Je pourrai alors te dire ce qui se passe réellement. En attendant, tu peux faire un scan antivirus en ligne ici
 
http://www.secuser.com/outils/antivirus.htm
 
Saterzo, dans ton cas, RegistryProt t'aurait alerté IMMEDIATEMENT lors de la tentative d'intrusion dans la BdR, je ne peux que te le conseiller.

Alors tout dabord merci pour vos réponses.
J'ai lancé l'antivirus en ligne et il me trouve ça:
 
WORM AGOBOT.BT dans C:\WINDOWS system 32\misurp...
 
Il y a marqué "non cleanable"
 
Qu'est ce que ça veut dire?
 

donc avant de faire la procédure Hijack, j'attends vos réponses concerant mon résultat de l'antivirus.
 

Tu notes le nom du fichier, vérifie qu'il ne correspond à rien d'utile (d'habitude non, les vers et trojans utilisent un .exe indépendant dans presque tous les cas), puis tu le supprime en mode sans echec.

Le Hijack, ça produit une liste en deux secondes, il n'y a pas de raison d'attendre. A toi de voir. Cela donne surtout d'autres renseignements très utiles que l'AV ne donne pas forcément.

Salut
 
J'ai un probleme un peu different que celui decrit par Slyde, mais je pose la question ici quand meme, on ne sait jamais (et au pire ca me fait un drapo sur le topic, qui est bien utile mine de rien   ).
 
Je suis sous Windows 2000, et actuellement j'ai le processus csrss.exe qui me bouffe entre 30 et 40 % du temps cpu. A priori il ne fait rien d'autre (pas de plantage, de programmes fermes ou quoi que ce soit), mais voila ca ralentit un peu la machine quand meme. Et actuellement 1 GHz c'est deja pas enorme...
 
Pourtant je croyais etre bien protege : j'ai NIS 2003 correctement installe et mis a jour, mais malgre le firewall et un scan de ma partition systeme, Norton ne voit rien. Par contre c'est vrai que je suis pas totalement a jour niveau patchs win 2k, vu que windows update ne termine jamais les installations de patches de securite (meme en lui laisant la nuit entiere !   )
 
Je pensais que c'etait le virus nimda, et j'ai passe le fix telecharge sur sophos.com (vu sur ce topic la). Que dalle, il ne detecte rien.  
 
Vous pensez que ca peut etre le blaster virus, bien que mon CPU ne soit pas pris a 100% ?

Fais tourner Hijack (voir ma réponse ci-dessus le 29/12 à 20h55 pour le lien).

Ouais, je vois ca des que je rentre chez moi. Merci.

j'ai une petite question, est ce normal d'avoir autant de svchost de lance en meme temps
 

 
j'ai scane avec l'antivirus en ligne => rien
j'ai f-secure => rien
j'ai winupdate a jour
 
j'ai un virus d'apres vous ??

Tain fait ch...
 
J'ai fait un scan avec le swminda.exe de sophos.com, avec le FxNimdaE.com de je sais plus qui (Norton ?), le stinger de McAfee evoque plus haut, j'ai scanne mon pc avec Ad-aware mis a jour, et malgre tout, j'ai pas trouve quoi que ce soit !
 
Pourtant j'ai encore ce processus csrss.exe qui me bouffe 40% du temps cpu. Mais j'arrive pas a le trouver dans l'analyse de mon PC par hijack (ci dessous, desole pour le flood). Quelqu'un a une idee ?
 

 
Plize aidez moi !  

cela semble normal , mais 41 process   ,penses a faire le menage et virer tout ce qui ne sert a rien..

http://www.laboratoire-microsoft.o [...] on=print#2
 
tu peux le killer, tente un .bat qui fait un kill -f csrss.exe au demarrage du pg (dans ton menu demarrer/programme/demarrage)

Heu... le vrai processus csrss.exe ne doit-il pas fonctionner en permanence ? Faire un kill brutal ca va destabiliser completement le systeme, non ?

j'ai un winlogon qui reste a 99% du temps pendant 2-3 minutes a chaque demarage de Win2000 ... (avec AV a jour)
 
Vous avez deja vu un truc pareil ?