megataupe

Ben oui hélas, les PC zombies ça existe et en voici une preuve plutot alarmante : http://fr.news.yahoo.com/07102005/202/troi...s-le-monde.html

Bonsoir IPL . Tu as sans doute raison car, c'est un peu flou les infos disponibles sur ce vbstub.exe : http://virus.comp.alt.newsgrouptopics.com/1139/vbstub.exe/ http://www.exedb.com/vbstub.html

Bonsoir à tous . Dans le doute, je pense qu'il vaudrait peut être mieux faire analyser ce fichier sur : http://virusscan.jotti.org/ et le renommer en attendant (je continue mes recherches).

Tu peux faire l'essai avec une version optimisée (Moox) selon ton processeur, voir ici : http://www.moox.ws/tech/mozilla/mdefs.htm puis charger le fichier Zip ici : http://www.moox.ws/tech/mozilla/localizedbuilds.htm Il n'y a pas d'installeur ou de désinstalleur (on jette le dossier) sur les versions Moox, tu le dézippes donc le fichier dans C:\Program Files, tu crées un raccourci bureau et tu lances Firefox Moox (qui va récupérer tes bookmarks et autres préférences dans ton dossier profil de Firefox après, tu testes avec Firefox 1.0.7 pour faire la comparaison).

Bonjour Strongh. L'utilisation intensive de Firefox le rend assez gourmand en ressources système, et le seul moyen de contourner ce problème consiste à vider le cache et de réduire de temps en temps la fenêtre du Fox dans la barre des tâches.

Salut Jack . J'ai pris le relais pendant ton absence mais, avec un trou de mémoire pour la désinstallation de 180 et Media Access, ça doit être l'âge .

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Redémarre l'ordinateur en mode sans échec (touche F8 ou F5). Assure toi d'avoir accès à tous les fichiers par la commande suivante : Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes : O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\System32\spoolsv32.exe O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [salm] c:\program files\180searchassistant\salm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by23fd.bay23.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1117025669101 O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by23fd.bay23.hotmail.msn.com/activex/HMAtchmt.ocx Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked" - Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\WINDOWS\System32\spoolsv32.exe (attention de ne pas supprimer le fichier spoolsv.exe qui lui est légitime) --- C:\Program Files\Media Access\MediaAccK.exe (supprimer le dossier) --- C:\program files\180searchassistant\salm.exe (supprimer le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.. Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - nettoyage de la base de registres par EasyCleaner-Registre (important, ne pas utiliser la fonction doublon) Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. 568381[/snapback] 581065[/snapback]

Bonjour Castotwo. Ce problème semble lié à la "mémoire" du tea timer de Spybot, plus d'infos sur ce post : http://www.memoclic.com/forum/technique/21...gedespybot.html

Bonjour S2S. As-tu installé Zebprotect pour fermer tous les ports sensibles ? http://telechargement.zebulon.fr/123-zeb-protect.html

Bonjour Grenouille, bonjour à tous . Pour ceux qui seraient intéressés par une utilisation du proxomitron, un site fort bien fait est à consulter en premier : http://www.lipsheim.org/foret/proxomitron.htm pour ceux qui voudraient essayer un clone allégé du proxo en français, il existe aussi proximodo : http://www.framasoft.net/article3622.html Bon amusement

Salut Super gag . Tout dépend si tu utilises un proxy ou non car, tu peux voir que sur ce PC le port 80 est bien utilisé par le proxy mais bon, ça n'a pas grande importance car le port utilisé par Firefox est bien au delà du 1024 (2638) comme tu le soulignes fort justement. firefox.exe 3048 TCP 2638 80 http 195.13.57.83 Connexion établie G:\Program Files\Firefox CE\firefox.exe Firefox Firefox 1.0.6 Mozilla 06/10/2005 20:42:02

Bonjour Greywolf . Tu as tout à fait raison mais, je pensais à la fermeture du port 80 en entrée et en sortie aussi.

Bonjour S2S. Le seul problème, c'est que si tu fermes le port 80 tu ne pourras plus aller sur le net ou faire un simple scan. Le port 80 doit être si possible furtif ou masqué, ce que font en général les bons firewall. Voilà ce que ça donne sur mon PC, le port 80 étant contrôlé par spyblocker : Netstat --- ProtocolLocal IP Port Remote IP Port Status Processus Pid --- --- --- --- --- --- --- --- TCP 127.0.0.1 12143 LISTENING ashMaiSv.exe 1884 TCP 127.0.0.1 12119 LISTENING ashMaiSv.exe 1884 TCP 127.0.0.1 12110 LISTENING ashMaiSv.exe 1884 TCP 127.0.0.1 12025 LISTENING ashMaiSv.exe 1884 TCP 127.0.0.1 2232 127.0.0.1 2231 ESTABLISHED firefox.exe 1272 TCP 127.0.0.1 2231 127.0.0.1 2232 ESTABLISHED firefox.exe 1272 TCP 127.0.0.1 2231 LISTENING firefox.exe 1272 TCP 0.0.0.0 2232 LISTENING firefox.exe 1272 TCP 0.0.0.0 1026 LISTENING System 4 TCP 0.0.0.0 1025 LISTENING svchost.exe 756 TCP 0.0.0.0 80 LISTENING spyblocker.exe 1060

Salut Jack et merci pour l'info car, les messageries instantanées sont en effet devenues la cible privilégiée des pirates. Pour Firefox, je recommande d'utiliser la googlebarlite qui suffit largement pour les recherches faites avec "notre ami" . http://www.borngeek.com/firefox/googlebarlite/

Bonjour and-1. Tout d'abord, je pense qu'il faut dégonfler la baudruche car, un rootkit est une forme d'infection virale très difficile à programmer et ils semblent d'ailleurs davantage s'attaquer aux réseaux d'Entreprise plutot qu'aux ordinateurs personnels. Pour ma part, je n'ai encore jamais vu un PC home infecté par un rootkit, même si les editeurs d'Antivirus auraient tendance à foutre les boules à leurs clients pour fourguer leur exceptionnel traqueur de rootkit . La meilleure parade pour s'en prémunir (au cas ou) et d'utiliser un contrôleur d'intégrité comme ProcessGuard (en version payante hélas) qui va empêcher toute tentative d'implantation de ce genre de "vicelard" en le stoppant dès sa tentative d'injection dans le system. "Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits". Source : http://assiste.free.fr/assiste.com.html?ht...rocessguard.php

Bonsoir peio64. Je ne vois pas de trace d'infection sur ton PC, peux tu appliquer ce qui suit : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis 568922[/snapback] edit : j'ai un doute sur cette ligne O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\PIERRE~1\LOCALS~1\Temp\delus.exe mais, on verra après le scan d'Ewido

Re IPL. Il me semble que ces failles ont été corrigées dans la dernière version 1.0.7 du Fox (dont la faille IDN dont nous avons déjà parlé sur le forum il y a quelques temps). Tu devrais leur offrir une version sécurisée

Bonsoir Noisette . Je pense que tu devrais d'abord voir sur la FAQ Outlook Express pour tenter de règler ton problème (à moins de vouloir le désinstaller ) : http://www.faqoe.com/accessibilite.php

Bonsoir Lohiva. A mon avis, et si tu veux être tranquille, tu marques ce message comme indésirable si tu as Thunderbird comme messagerie ou, tu changes ton adresse mail car, les autres solutions (plaintes, etc..) ne donneront pas grand chose hélas.

Et bien, tu peux maintenant dire : adieu Morton, on t'aimait pas bien . Ben oui, beaucoup négligent de nettoyer leur registre régulièrement ou d'installer des soft comme les antivirus sous le contrôle de TotalUninstall (seul vrai moyen de les désinstaller proprement).

Attend l'avis d'IPL mais, tu as toujours ces lignes 017 qui renvoient sur un serveur Ukrainien : Information related to '85.255.112.0 - 85.255.113.255' inetnum: 85.255.112.0 - 85.255.113.255 netname: inhoster descr: Inhoster hosting company descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine edit : idem pour cette IP 195.95.218.172

Bonsoir IPL . Tout ça me fait penser au mythe des leaktest (autres failles s'il en est) pour les firewall que tous les éditeurs se targuent de passer (plus ou moins bien et c'est même catastrophique pour Kerio) afin d'affirmer la supériorité de leur produit sur les concurrents. Ce qui est à nouveau du plus haut comique, c'est lorsque l'on sait qu'un soft comme ProcessGuard (je me répéte hélas ) empêche toute exécution d'un quelconque leaktest et supplée donc le firewall lorsqu'il se fait traverser, que ce soit le meilleur ou le plus naze d'entre-eux (rappelons qu'aucun firewall ne passe pour le moment tous les leaktest).

Bonsoir Grenouille . Plutot que la guerre des Editeurs d'antivirus (tu as une faille et moi pas), je pencherai davantage pour un travail de "fouine" de quelques chercheurs ou pourfendeurs de systémes, antitout, antivérole, etc.. qui désossent de façon obsessionnelle le code des soft pour y trouver la moindre ouverture, même si ce n'est qu'un trou de souris qui ne sera jamais exploité. Tant mieux si ces travaux sont mis en lumière car, ça permettra peut être d'avoir des produits mieux finis ou moins baclés. Quand à la peur des failles gonflée outre mesure par les médias, j'avoue que ça me fait souvent bien rire dans la mesure ou le plus souvent la solution se trouve dans la modification d'une simple ligne (cas de Firefox récemment).

Bonjour à tous . La saga continue, après Kaspersky, c'est au tour de Symantec et de BitDefender de connaître l'angoisse de la faille . Tous les détails ici : http://www.generation-nt.com/actualites/94...r-les-antivirus

Bonjour à tous. Il serait préférable de désactiver les services Telnet et Web Client : Démarrer" "Exécuter" et taper "services.msc" dans la fenêtre qui s'ouvre double clic sur le service Telnet ou Services Terminal Server puis, dans Type de démarrage choisir manuel puis appliquer. Répétez l'opération pour le service Web Client et choisir cette fois désactivé. Redémarrer le PC et refaire ce test : http://www.blackcode.com/scan/index.php