megataupe

Bonjour Macouba et bienvenue sur Zébulon Sécurité. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ton PC : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Bonjour Jet. On va faire les choses proprement : Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Dans "panneau de configuration/ajout/suppression de programmes", tu désinstalles le programme Serv-U ou Serv-U FTP Server (Serv-U) si présent. Redémarre l'ordinateur en mode sans échec (touche F8 ou F5). Assure toi d'avoir accès à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes : O2 - BHO: (no name) - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} O4 - HKLM\..\RunServices: [MS Remote Procedure Call] msrpc32.exe O4 - HKLM\..\RunServices: [DIABLO666] Winupdsys.exe O4 - HKLM\..\RunServices: [blahh service] msengine.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1101045075140 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1126824069453 O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.nomatica.com/XUpload.ocx O20 - Winlogon Notify: kbfax - C:\WINDOWS\Fonts\kbfax.dll (file missing) O23 - Service: DIABLO666 (0) - Unknown owner - C:\WINDOWS\system32\Winupdsys.exe" -netsvcs (file missing O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - C:\PROGRA~1\Serv-U\ServUDaemon.exe Ferme tous les programmes en cours et toutes les fenêtres sauf celle d'HijackThis et clic sur "Fix Checked" - Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\WINDOWS\system32\Winupdsys.exe --- C:\PROGRA~1\Serv-U En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc.. Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - nettoyage de la base de registres par EasyCleaner-Registre (important, ne pas utiliser la fonction doublon) Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. 568381[/snapback]

Bonsoir jet. Avant d'optimiser, tu ferais bien de fixer ces lignes en mode sans échec : O2 - BHO: (no name) - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} O4 - HKLM\..\RunServices: [MS Remote Procedure Call] msrpc32.exe (Description: Added by the W32/RBOT-QL WORM! ) O4 - HKLM\..\RunServices: [DIABLO666] Winupdsys.exe et de reposter un rapport

Demander, c'est trouvé : http://www.libellules.ch/weblog/comments.php?id=222_0_1_0_C http://www.libellules.ch/dotclear/index.ph...elques-secondes et un mouton rottroisfois en plus pour les "dieux, ou presque " de Zébulon sécu.

Bonjour Guylou. Fais une recherche avec Regseeker sur securitoo et F-secure car, il doit rester pas mal d'entrées dans la BDR de ces pieuvres . Coucou Charles

Beau travail Pollux. Ca vaut bien un Sauternes . Maintenant cousine, si tu te débarassais d'Incredimoche (le mail chantant) ça serait bien aussi.

Tu fais ce qui suit pour nettoyer ta "brouette" : Dans l'onglet Nettoyeur-Windows, cocher: Internet Explorer: Fichiers Internet Temporaires, Cookies Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers Cliquer sur Analyse Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver. Puis dans l'onglet Nettoyeur cliquer sur Lancer le nettoyage.

Re, ça avance. Si Easy cleaner ne se lance pas, tu peux utiliser CCleaner pour nettoyer le bestail après avoir fait ce que t'a demandé Pollux : http://www.ccleaner.com/ edit : tu cliques sur l'onglet options/propriétés pour choisir le French

Bonjour Abyssin. Il te suffit de supprimer la quarantaine d'Avast et de le désinstaller ensuite proprement (fermer tous les processus Avast et suppression par ajout /suppression de programmes et nettoyage de la BDR pour terminer).

Bonjour BipBip . La réference pour réparer Win ME reste le site de JC Bellamy : http://www.bellamyjc.net/fr/windows2000.html#repair pas trop complexe à première vue.

Re cousine dans le noir . Ben, c'est très simple, tu doubles cliques sur l'icone de l'explorateur Windows puis tu choisis : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Voilà edit: salut Pollux (tu viens de gagner un Margaux 1937 offert par la cousine )

Il reste ça qui est très douteux : O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s voir ici : http://www.sophos.fr/virusinfo/analyses/trojagentdi.html

Dur, dur ce blème. Voici ce que propose la Tanière pour un problème d'exe corrompus : * Redémarrer l'ordinateur en mode sans échec (au démarrage du PC, appuyer sur la touche F8 - plusieurs fois si nécessaire afin d'obtenir le menu d'amorçage offrant les options) * Dans une session Administrateur ou d'utilisateur avec droits d'administration, ouvrir les Propriétés du système (Windows+Pause) et, sous l'onglet Restauration du système, cocher la case Désactiver la Restauration du système sur tous les lecteurs. * Par Démarrer/Exécuter... (ou Windows+r), saisir command.com * A l'invite, saisir successivement les commandes suivantes, en appuyant sur Entrée entre chacune cd\ cd \windows (taper un espace entre cd et \) copy regedit.exe regedit.com start regedit.com * Dans l'Editeur de Registre qui s'ouvre après avoir appuyé sur Entrée à la suite de la dernière commande, naviguer jusqu'à la clé HKEY_CLASSES_ROOT\exefile\shell\open\command * Dans le volet droit, double-cliquer sur la valeur (par défaut) * Supprimer la mention figurant dans la zone Données de la valeur et saisir à la place le paramètre "%1" %* (syntaxe: guillemet - pourcent - chiffre 1 - guillemet - espace - pourcent - astérisque) * Quitter l'éditeur et réactiver la Restauration du système * Redémarrer l'ordinateur en mode normal. Tout devrait être rentré dans l'ordre Note: Une fois la procédure terminée, vérifier immédiatement le système avec un anti-virus mis à jour pour éradiquer l'éventuel coupable. Source : http://www.d2i.ch/pn/az/e.html

Pas normal en effet. Vérifie avec le tuto réalisé par Odsen : http://perso.wanadoo.fr/2501/securite-facile/antivir.html

Ce n'est pas très recommandé mais, tu peux passer par MSN pour les conseiller ou mieux, t'installer derrière leur PC et appliquer ces précieux conseils : -Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release ) - pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut). - une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert) - une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système) - nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation) - scan hebdomadaire antispyware Pour en savoir plus, consulte la page de ipl_001 http://gerard.melone.free.fr/IT/IT-AM0.html Tu dois également installer les outils suivants: -Un navigateur sécurisé comme Firefox http://forum.zebulon.fr/index.php?showtopic=69628&st=0 -Un vrai pare-feu (pas le joujou offert avec XP) -Kerio (téléchargement et tutorial) http://babin.nelly.free.fr/kerio.htm -Zone Alarm http://telechargement.zebulon.fr/58-zonealarm-60-fr.html son tutorial chez Tesgaz : http://speedweb1.free.fr/frames2.php?page=tuto1 -SpywareBlaster: http://www.javacoolsoftware.com/downloads.html Son tuto: http://www.ordi-netfr.org/tutorialspywareblaster.html -Ad-awareSE http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm -SpyBot-Search & Destroy http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php -ZebProtect http://www.zebulon.fr/articles/zebprotect.php http://telechargement.zebulon.fr/123.html Auteur: queruak edit: grillé par Charles avec fracas

Un peu plus d'infos sur ce poéte chez Sophos : http://www.sophos.fr/search/?search=PoeBot...r&action=search Fais une recherche dans la BDR, selon le chemin indiqué par Sophos, pour vérifier sa présence.

Bon, notre service qu'adore Charles n'a pas redémarré, c'est déjà ça. Tu vas faire un scan avec Ewido pour voir s'il ne traîne plus de bestioles sur ce PC : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer 568922[/snapback]

Bonsoir à tous . Il faut je crois mettre un bémol sur le résultat des seuls Leaktests car, il suffit d'un soft comme ProcessGuard pour bloquer très facilement ce genre de test. Maintenant, ce type de test peut donner une bonne indication sur les capacités d'un firewall à se faire pénétrer ou contourner et il est vrai que dans ce domaine Kerio est assez perméable à ce type d'attaque d'où l'intérêt d'avoir tous les ports masqués et non seulement fermés.

Salut Charles . J'espère qu'elle n'est pas parti avec pertes et fraxa . Il serait en effet intéressant de savoir si ce cafard ne se réactive pas même désinstallé dans les services. Une autre piste : afficher les périphériques cachés dans le gestionnaire de périphériques pour pister le trublion.

Bon, tu cliques sur démarrer/outils d'administration/services et dans la fenêtre qui va s'ouvrir tu recherches si tu as ce service actif : TASKESV (TESV) Si oui, tu cliques sur arrêter le service puis, tu fais un double clic sur ce service et tu choisis : type de démarrage désactivé dans la nouvelle fenêtre, puis appliquer et tu redémarres ton PC. Ensuite, tu retournes dans services pour vérifier que ce service est bien désactivé.

C'est dans la procédure : -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

Bonjour Fraxa. En attendant l'avis d'IPL, profites-en pour mettre Internet Explorer à jour : Votre version (6.00.2800.1106) n’est plus d’actualité. Actualisez Internet Explorer via Windowsupdate. ps: as-tu bien fixé cette ligne en mode sans échec avec HijackThis ? O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe

OK, c'est surement le routeur et il faut que tu cherches dans la doc car, le firewall ne sert plus dans ce cas que pour autoriser les applications à sortir (et pour pouvoir savoir ce qui sort, sauf avec le firewall d'XP qui lui laisse tout passer ).

Bonjour Zonk. En principe, ce type de scan doit être refusé par le firewall s'il est bien configuré (tu as normalement une règle à éditer pour bloquer les ping). pour ZA voir ici : http://speedweb1.free.fr/frames2.php?page=tuto1#firewall

Tiens, tiens, quel beau troll. Je vais ressortir (pour ceux qui ne fréquentent pas le forum sécurité) le test du serial killer d'antivirus notamment. Amusez vous bien si vous n'avez pas la trouille de voir votre Morton, tasse à café, etc.. foudroyé tout net . http://forum.zebulon.fr/index.php?showtopic=66234&st=0