megataupe

Bonjour à tous. Voici,comme chaque semaine, la liste des mises à jour de vos "joujoux" préférés. General 1. Microsoft Security Bulletins last update: 12 Apr 2005 Anti-Virus 1. AntiVir/AVPE - last update: 03 May 2005 2. Avast - last update: 02 May 2005 3. AVG 7 Free / 7 Pro - last update: 02 May 2005 4. Bit Defender (Web site) / FTP Site (daily.zip) - last update: 03 May 2005 5. Dr. Web - last update: 03 May 2005 6. eTrust EZ - Newly Detected list last update: 03 May 2005 7. F-Prot (Web site) / FTP Site (fp-def.zip) - last update: 03 May 2005 8. F-Secure - last update: 03 May 2005 9. * KAV - last update: 04 May 2005 10. McAfee Weekly DAT - last update: 03 May 2005 - Beta Daily files: 03 May 2005 11. NAV LU - last update: 02 May 2005 - IU / FTP (2005mmdd-0xx-i32.exe): 03 May 2005 12. Nod-32 - last update: 03 May 2005 13. Norman Virus Control - last update: 03 May 2005 14. Panda - last update: 03 May 2005 15. RAV - last update: 26 Apr 2005 16. Sophos - Release Dates - last update: 03 May 2005 17. TrendMicro (PC-cillin) - last update: 02 May 2005 (#2.611) / Beta: 03 May 2005 (#2.612) * KAV updates at least 8 times a day. All are not posted here, so please check the Web site for the latest update available. Anti-Trojans 1. a² Free / Personal - last update: 03 May 2005 2. BOClean - last update: 03 May 2005 3. Ewido Security Suite - last update: 03 May 2005 4. Tauscan - last update: 03 May 2005 5. TDS-3 - last update: 03 May 2005 6. The Cleaner - readme-cdb.txt - last update: 01 May 2005 7. TrojanHunter - last update: 03 May 2005 8. Trojan Remover - last update: 03 May 2005 Anti-Spywares 1. Ad-Aware SE - last update: 28 Apr 2005 2. AGNIS - AGNIS for Outpost - AGNIS for AdShield - last update: 14 Apr 2005 3. Hpguru's Hosts File - last update: 17 Apr 2005 4. IE/SPYAD - last update: 14 Apr 2005 5. Microsoft Antispyware(Beta) / Giant- last update: 29 Apr 2005 (#5713) 6. MVPS HOSTS File - last update: 03 May 2005 7. PestPatrol - Version Info - last update: 28 Apr 2005 8. Spy Sweeper - last update: 02 May 2005 9. Spybot S&D - last update: 27 Apr 2005 / last Beta update: 27 Apr 2005 10. Spycop - last update: 02 May 2005 11. SpywareBlaster - last update: 02 May 2005 12. Spyware Block List File - last update: 02 May 2005

Je crois plutot qu'IPL a beaucoup d'humour et ne veut pas voir ce sujet transformé en JRAD.

Bonsoir Doudou5. Tu as notamment rapidblaster qui traîne sur ton PC : http://www.wilderssecurity.net/specialinfo/rapidblaster.html mais, surtout attend l'avis des spécialistes du forum avant d'utiliser un utilitaire pour l'éliminer.

Merci Pierre pour cette précieuse information (farceur le Patrick ) car, les bonnes listes hosts commencent généralement toutes par 127.0.0.1. Je pense qu'il va falloir refaire un tour d'horizon sérieux concernant la sentinelle fichier hosts. Qu'en pense IPL, notre gourou vénéré ?

Bonjour michka. Je pense que Stonangel te conseillera d'éliminer les quelques "scories" qui subsistent dans ce log (rien de méchant, rassure toi). En attendant, peux-tu envoyer le rapport d'analyse d'ewido comme demandé par Stonangel.

Bonjour à tous. Merci à Pierre pour la rapidité de son intervention et ses conseils toujours aussi pertinents. Personnellement, j'ai fusionné avec Hostess le hosts de SpyBlocker avec celui trouvé sur ce site : http://www.mvps.org/winhelp2002/hosts.txt qui offre la particularité d'être récent et d'avoir beaucoup de lignes doublées (127.0.0.1 machinchose.com et 127.0.0.1 www.machinchose.com), ce fichier fusionné de 930 ko bloquant plus de 20000 sites (ce qui me semble suffisant avec les autres outils que j'utilise pour filtrer les nuisances). Ceci dit, je me demande si ce problème de www ne provient pas du fait que nos navigateurs auto-compléte les adresses en ajoutant systématiquement www lors d'une entrée dans la barre d'adresse. Peut être serait-il plus prudent de désactiver la fonction auto-complétion de l'entrée de formulaires proposée par Firefox notamment. Bonne journée à tous

Bonsoir IPL. Je viens de lire attentivement les très riches échanges sur PC Astuces, lesquels permettent de mieux cerner le problème. Je remarque tout d'abord qu'OPTIMISER a proposé depuis, sur le forum de Spyblocker, deux listes d'IP à bloquer (+de 5000) afin de générer un nouveau fichier noads2 pour l'utilisation de la Pacfile, ce qui devrait être un gage de sécurité pour les utilisateurs de ce soft. Par contre, je ne trouve pas dans la discussion d'éclairsissements concernant les interactions de Generic Host Process avec le fichier hosts. Pierre conseille de lui interdire toute sortie sur le net et j'aimerai bien avoir ton avis sur cet encombrant personnage (pas Pierre évidemment ). En conclusion, le problème reste posé aux concepteurs des listes hosts et si Pierre nous lit, j'aimerai bien avoir son avis sur ce sujet pour le moins épineux.

Bonsoir à vous deux . Il ne semble pas y avoir d'explications convaincantes à cette apparente anomalie que j'ai déjà constaté. Une methode à appliquer pour remédier à cette incohérence est proposée ici : http://assiste.forum.free.fr/viewtopic.php?t=1051

Bonsoir à tous. Ce qui m'inquiéte dans tout ça, c'est que la qualité des intervenants sur le forum (ils vont sans doute rougir mais, ils méritent vraiment notre admiration pour le superbe travail déjà abattu, et je sais de quoi je parle) risque à terme de provoquer des comportements à risques du genre (sous forme imagée): bah, si je chope un blaireau en chatouillant le mulot dans tous les sens, même interdits, y'a les pointures de Zebulon qui seront là pour me sortir du caca. Il conviendra donc, il me semble, d'insister un peu plus lourdement sur la prévention et l'éducation des jeunes internautes et aussi des moins jeunes pratiquant le surf à risques en toute connaissance de cause.

Content pour toi manuel mais, il aurait été utile que tu envoies le rapport Hijackthis pour vérifier s'il était bien éradiqué. Pense aussi à mieux te protéger pour éviter ce genre de "surprises", en commencant par changer de navigateur si tu utilises Internet Explorer.

Bonjour Manuel et bienvenue sur Zébulon. Commence par appliquer la procédure indiquée ci-dessous par Stonangel pour un cas similaire et attend ensuite que l'on analyse ton rapport Hijackthis. Bonjour utilise l'utilitaire de désinfection Fix Vundo http://www.secuser.com/telechargement/desinfection.htm et poste un rapport Hijackthis: HijackThis v1.99.1: http://www.merijn.org/files/hijackthis.zip Important: Installer Hijackthis correctement L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp) Scan/save log (rapport)/copier&coller le contenu du rapport ici Tutorial pour l’installation et l'utilisation: http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

Je pense m'être mal exprimé car, je parlais en fait de la procédure classique qui est indiquée avant le nettoyage d'Hijackthis dans les réponses aux demandes d'analyse. Pour le reste, tu as tout à fait raison de privilégier une analyse globale. Bonne chance avec ce cas épineux à première vue

Bonjour queruak . Je pense qu'il serait judicieux d'indiquer dans la procédure d'Hijackthis de désactiver, avant d'être logé en mode sans échec, les utilitaires de surveillance en temps réel comme le tea timer ou ProcessGuard. Qu'en penses-tu ?

Bonjour Tito et bienvenue sur Zébulon sécurité. En complément de ton scan Ewido, peux tu effectuer un scan avec Hijacthis (voir la procédure dans les autres messages pour l'installation et le mode d'emploi d'Hijacthis) et envoyer le rapport qu'il va générer, afin que les spécialistes qui vont l'analyser puisse te fournir des indications pour nettoyer ton PC.

Bonjour. Tu as la réponse dans l'aide d'Avast, ce ne sont pas des virus et il ne faut surtout pas les supprimer. Restaurer les fichiers système. Pendant l'installation, avast! copie certains fichiers système cruciaux dans la zone de quarantaine, dans la categorie "Fichiers système". Ces fichiers pourraient provoquer un plantage du système d'exploitation s'ils venaient à être infecté par virus. En cas de besoin, ces fichiers peuvent être restaurés de la zone de quarantaine vers leur dossier d'origine. Si un virus inconnu infectait l'ordinateur malgré la protection élevée de l'antivirus avast! et modifiait un fichier système important, vous pourrez facilement le restaurer dans son état d'origine.

Bonsoir neofitos, bonsoir Choupinou . Excellent soft dont la principale qualité est (je cite notre ami Pierre d'Assiste) : "Dispose de la capacité de détecter des processus malveillants qui se seraient injectés à l'intérieur de processus licites (tels les dll de Windows) afin d'être totalement furtifs et toujours actifs. A² peut éradiquer le parasite sans altérer ni arrêter le processus hôte. Seul Trojan Hunter et TDS-3 partagent, avec lui, cette faculté". Une référence donc pour la lutte anti-cafards.

Afin d'être certain que tu as toujours ce trojan, je te propose d'utiliser un outil spécifique aux trojans : TrojanHunter, que tu peux charger en version free 30 jours. Faire le scan en mode sans échec (tapoter la touche F8 après l'écran noir du bios au redémarrage). Le lien pour TrojanHunter : http://www.trojanhunter.com/

Bonsoir IPL. Je pense qu'il vaut mieux passer Spybot en premier et Ad-Aware en second car, c'est mon avis, le nettoyage fait par Ad-Aware est souvent très agressif. Pour Cydor, il y a tout une litanie sur l'infection à lire ici : http://www3.ca.com/securityadvisor/pest/pest.aspx?id=1472

Je veux dire que l'adresse IP utilisé par ton trojan pour communiquer vers l'extérieur est connu des organismes qui sont chargés de surveiller les attaques des hackers,ainsi que le nombre d'attaques relevées pour chaque IP signalée suspecte.

Bonsoir Chepiok. Je ne vois rien de particulièrement méchant sur ton log mais, attend l'avis des spécialistes maison pour effectuer un éventuel nettoyage. As-tu essayer de désinstaller/réinstaller la dernière version de Thunderbird pour confirmer ton problème de liens ?

Bonsoir Tesgaz, pos tha boss, bonsoir à tous. Un whois confirme bien la présence d'un trojan sur ce PC : 64.95.228.143 HostName: 64.95.228.143 DShield Profile: Country: US US Contact E-mail: AS Number: 0 AS Name: Reserved AS Contact: Total Records against IP: 513 Number of targets: 11 Date Range: 2005-02-11 to 2005-04-27 Comments:

Bonjour. Compare la taille avec celui de Secuser pour vérifier : http://secuser.com/telechargement/desinfection.htm

Bonjour Laubean, bonjour à tous. Son grand mérite, hormis ses intempestives fenêtres d'avertissements, est d'être très peu gourmand en RAM. Ceci dit, je lui préfère de loin un soft comme ProcessGuard lequel, exerce un contrôle très rigoureux sur le système et les applications installées à partir d'un PC sain. Il me semble que le futur outil de protection qui serait proposé par l'équipe de Zébulon devrait s'inspirer de l'architecture proposé par ProcessGuard, en ajoutant des fonctions non disponibles dans la version Lite.

De retour, je te conseille dans un premier temps d'utiliser chaque semaine Spybot en mode par défaut pour vérifier si tu n'as pas d'infections (Spybot fait des sauvegardes et cré un point de restauration système avant nettoyage). Plus tard, tu reprends le tutorial (le mieux est de l'imprimer) et tu appliques les directives données par Pierre dans son article sur le mode avancé en activant les options qu'il juge utiles selon ta configuration (tea timer, BHO, hosts, ActiveX, etc...). En terme de sécurité, il faut absolument faire un petit effort de compréhension (la rubrique articles de Zébulon peut t'aider pour mieux comprendre) et ne pas se contenter du produit miracle qui fait tout à ta place. Je n'ai pas d'avis sur l'antispy de Microsoft, si ce n'est pour dire qu'il est loin d'arriver au niveau d'un soft comme PestPatrol par exemple

Je ne sais ce qu'en pense IPL mais, si tu avais un virus "planqué" dans le bios, on en trouverait des traces dans le rapport Hijacthis. Ca ressemble plus à un problème système (as-tu essayé une vérification de ton disque par : double clic sur poste de travail/clic droit sur la partition qui contient le système/ouvrir propriétés/onglet outils/vérification des ereurs/clic sur vérifier maintenant/cocher les 2 cases puis clic sur démarrer (aller boire une bière en attendant le verdict dans + ou - 20 minutes). pour syshost, voici ce qu'en dit Sophos : W32/MyDoom-D lance Internet Explorer et affiche l'URL suivante : http://support.microsoft.com/default.aspx?kbid=325126 Lorsqu'il est exécuté pour la première fois, W32/MyDoom-D se copie dans le dossier Windows System sous le nom SYSHOST.EXE. Pour se lancer automatiquement à chaque démarrage de Windows, W32/MyDoom-D paramètre l'entrée suivante du registre : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ MS Update = <SYSTEM>\syshost.exe W32/MyDoom-D paramètre dans le registre les entrées suivantes comme marques d'infection : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\SYSHOST\ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SYSHOST\ W32/MyDoom-D tente de mettre fin à tous les processus contenant les chaînes de caractères suivantes dans leurs noms : regedit task msconfig AV MC Av Mc av mc IEFrame nti iru ire cc ecu can scn KV fr Si W32/MyDoom-D est exécuté le 1er décembre 2004 ou après cette date, il tente de déconnecter l'utilisateur. Vérifie dans la BDR si tu as les clés citées par Sophos.