megataupe

Bonjour jouls. Ton PC semble propre (IPL te le confirmera je pense) après le passage d'Ewido. Pour les points de restauration, qui ne semblent pas touchés, au vu du scan Ewido, je conseille en général de ne garder que les 8 derniers, ce qui est largement suffisant.

Bonjour Alcide et bienvenue sur Zeb'sécu. Rien trouvé sur les qualités de ce PC Integrity Scanner (c'est même un sinistre inconnu ) qui ne m'inspire pas plus que ça. Toujours faire confiance aux soft testés et depuis longtemps reconnus pour leur capacité à ne pas générer des résultats destinés à te faire acheter le dernier attrappe-couillon proposé .

Bonjour Gcette. Fais analyser ce taskcntr.exe ici : http://virusscan.jotti.org/ et envoie le rapport

Bonjour et bienvenue sur Zébulon Sécurité. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ton PC : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse. Voilà ce qui traîne sur ton PC (entre autre cafard) O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE (Description: Added as a result of the WEBUS TROJAN! Note - this is not the valid Client Server Runtime Subsystem csrss.exe process, which provides text window support, shutdown, and hard-error handling ) O4 - HKLM\..\Run: [smss] C:\WINDOWS\System\SMSS.EXE (Description: Added as a result of the ALADINZ.F VIRUS! Note - this is not the legitimate Smss.exe system file should normally NOT figure in Msconfig/Startup! )

Ben, je ne sais pas si tu as bien suivi les conseils de Tesgaz mais, sur mon PC sans réseau j'ai les services suivants qui tournent. Evidemment, j'ai pas un PC Sony Microsoft Windows XP [version 5.1.2600] © Copyright 1985-2001 Microsoft Corp. Les services Windows suivants ont été lancés : Acquisition d'image Windows (WIA) Appel de procédure distante (RPC) Audio Windows avast! Antivirus avast! iAVS4 Control Service avast! Mail Scanner Cliché instantané de volume Connexions réseau DiamondCS Process Guard Service v3.000 Détection matériel noyau Gestionnaire de connexions d'accès distant Gestionnaire de disque logique Infrastructure de gestion Windows Journal des événements Planificateur de tâches Plug-and-Play Service de restauration système Services de cryptographie Services Terminal Server Spouleur d'impression Station de travail Thèmes Téléphonie

Bonjour S.Birkoff . A part ProcessGuard et Registryprot (très simple d'utilisation car, c'est apply ou deny ), tous les soft de sécurité et leur tutorial sont regroupés ici sur ce post : http://forum.zebulon.fr/index.php?showtopic=64246 Concernant Look'n'Stop, il existe de très bons tutos et notamment : http://karibou10.free.fr/tuto/lookstop.htm ou celui-ci pour les célébres règles Phantom's : http://www.wilderssecurity.com/showthread.php?t=18327

Bonjour à tous . Problème assez classique, ce sont des fichiers vérolés qui restent dans les dossiers Volume restore, lesquels sont protégés en écriture (cryptés même) et ne peut donc être nettoyé. Seule méthode pour les nettoyer : désactiver la restauration système, refaire un scan antivirus en mode sans échec puis, la réactiver pour créer un point de restauration propre : http://service1.symantec.com/SUPPORT/INTER...020830101856924

Bonjour wismerhill. A part l'armée des Sony , je ne vois rien d'infectieux sur ce rapport. Passed!!!

Intéressante discussion Medicus 33. Je pense en effet que l'efficacité d'un logiciel de sécurité ne se résume pas à sa consommation en ressources et qu'il existe de remarquables utilitaires assurant une protection optimale (en dehors des règlages internes à faire dans les services ou au niveau des ports système par exemple). Si l'on prend l'exemple de Registryprot, ce verrouilleur/gardien de la BDR ne consomme sur mon PC que 128 ko pour une efficacité depuis longtemps éprouvé. Concernant ProcessGuard en version full, sa charge CPU est de l'ordre de 1000 ko, tout en assurant une protection très solide des applications et du système (protection active contre les rootkit ou l'injection de Dll dans le registre notamment). Coté firewall, un soft comme Look'n'Stop ne prend que 3400 ko pour une protection qui n'est plus à démontrer et je connais peu de parefeu aussi léger et efficace. Maintenant, je ne crois pas qu'une pléthore de logiciels te protégera mieux qu'un firewall parfaitement paramétré (ce qui n'est pas toujours évident je l'avoue) et les 2 soft cités ci-dessus auxquels j'ajouterai Spyblocker pour son rôle de garde-chiourne du port 80 (en proxy local donc) et du fichier hosts qu'il embarque. Je crois d'ailleurs avoir déjà fait la démonstration qu'avec ces quelques utilitaires et un Firefox utilisé au mieux de ses possibilités, l'on pouvait surfer partout et même là ou peu oseraient s'aventurer mais, bien entendu, le débat reste ouvert entre les partisans de l'allégé et les adeptes des usines à gaz style Morton, Securimou, Zone à pleurer, etc..

Re+++ Tu as pas mal de services inutiles au démarrage, va faire un tour sur le site de Tesgaz pour en fermer quelques-un, ça va t'occuper un moment . http://speedweb1.free.fr/frames2.php?page=service4 edit: laisse le service de restauration système sur automatique

Bonsoir Sylvain. Passe un coup d'Ewido et envoie un rapport HijackThis ensuite : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le rapport HijackThis 568922[/snapback]

Merci yavhe de bien vouloir créé ton propre sujet (clic sur nouveau en haut de la page) et de mettre en oeuvre la procédure de pré-nettoyage : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Re Jack. Tu peux faire fixer cette ligne et restaurer le fichier hosts avec Hoster : Your IP (207.234.185.217) appears as an attacker 7 times in the DShield database. O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe

Désolé kini1 mais, on a pourtant tout fait pour que cette procédure soit compréhensible et accessible à tous. Salut Jack

Salut Charles . Le site de Diamond.cs regorge de minuscules et très efficaces petits utilitaires comme APT, alias le serial killer .

Re. Pour ce point précis, tu gardes Avast en n'utilisant que les services Bouclier Standard et Messagerie. Tu remplaces le tea timer de Spybot par Registryprot à charger ici : http://www.diamondcs.com.au/index.php?page=regprot tu peux aussi te protéger avec ProcessGuard free que tu trouveras ici : http://www.diamondcs.com.au/processguard/i...p?page=download (son tutorial à voir ici) : http://assiste.free.fr/assiste.com.html?ht...rocessguard.php Voilà qui devrait alléger ton PC et mieux te protéger.

RAS sur le rapport Ewido que tu peux désinstaller (valable 14 jours seulement). Comme je dois m'absenter, attend que Charles ou Jack te conseillent sur les autres points. Pour tes cookies, sécurise Firefox comme indiqué ici : http://forum.zebulon.fr/index.php?showtopic=69628&st=0

Voici la procédure Ewido : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis 568922[/snapback] 1- Il vaut mieux le renommer mais, tu peux aussi le décocher dans msconfig (vérifier ensuite s'il ne revient pas). 2- ne pas toucher aux lignes 023 qui concernent les services, les 08 peuvent par contre être fixées sans problème.

Bonjour. Va voir sur ce site si tu peux télécharger le patch : http://www.autourdupc.com/index.php?sPage=...WINXP/WinXP.htm

Peux tu envoyer le rapport Ewido, si tu as fait le scan ? Pour moi, RTHDCPL.EXE n'est pas suspect, maintenant tu peux toujours renommer ce fichier en RTHDCPL.EXE-old est attendre quelques jours avant de le supprimer si tout va bien.

Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) Redémarre l'ordinateur en mode sans échec. Relance un scan HijackThis, clique sur "Do a system scan and save a log file" et coche la ligne ci-dessous : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE Ferme toutes les fenêtres sauf HijackThis et "Fix Checked" - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre (important, ne pas utiliser la fonction doublon) Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. 568381[/snapback] edit : RTHDCPL.EXE est légitime Summary : Realtek HD Audio Control Panel Company : Realtek Semiconductor Corp. Description : Realtek HD Audio Control Panel Threat Level (1-10) : 0 Processes : RTHDCPL.EXE

Bonjour Greg23. Peux tu faire un scan d'Ewido et envoyer le rapport : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis 568922[/snapback]

Hum, peut être un faux positif d'AVG. Tu vas faire un scan avec Ewido pour vérifier car ton rapport semble propre : Télécharger la version d'essai d'Ewido ici : http://www.ewido.net/fr/ et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu"). Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme. Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer avec le dernier rapport HijackThis 568922[/snapback]

De bonnes surprises en terme de sécurité pour cette beta 2 (désactivation des ActiveX à la demande par exemple) et emploi du "bac à sable" : Pour plus de détails : http://www.generation-nt.com/actualites/91...rnet-Explorer-7

Attention aux mails contenant en pièce jointe (format zip) "price.exe" : A suivre ici : http://www.branchez-vous.com/actu/05-09/09-295304.html