megataupe

Pour une nouvelle..................c'est une bonne nouvelle . Quelques conseils de sécurité pour terminer : Pour en savoir plus, consulte la page de ipl_001 http://gerard.melone.free.fr/IT/IT-AM0.html Tu dois également installer les outils suivants: -Un pare-feu Kerio Zone Alarm -SpywareBlaster: -Ad-awareSE -SpyBot-Search & Destroy -ZebProtect Bon courage et bon surf!!! Auteur: queruak 557532[/snapback]

Bonjour à tous. Tu peux aussi le renommer en EICAR.com et ensuite le supprimer en mode sans échec.

Re. As-tu bien fixer ces lignes en mode sans échec et supprimer le fichier wssock.exe ? O4 - HKLM\..\Run: [system service63] C:\WINDOWS\etb\pokapoka63.exe O4 - HKLM\..\Run: [*Wssock] wssock.exe O4 - HKLM\..\RunServices: [*Wssock] wssock.exe O4 - HKCU\..\Run: [*Wssock] wssock.exe

Bonjour Kapou et bienvenue sur Zebulon sécurité. Dans l'immédiat, merci d'appliquer la procédure suivante : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Pour les supprimer : clic droit sur la clé et supprimer. Maintenant, il vaut mieux faire une sauvegarde de ton registre avant d'effectuer cette manipulation : Registre - Sauvegarder une clé Le registre regroupe des informations et paramètres vitaux pour le système. Des erreurs dans les données, une corruption du registre pourrait rendre le système instable voire même empêcher le démarrage de Windows XP. Les interventions dans l'Éditeur du Registre (Démarrer/Exécuter... (ou Windows+r) puis saisir regedit) présentent donc un risque. Afin de pouvoir restaurer les valeurs initiales en cas de problème, procéder comme suit: * Sélectionner la clé à modifier ou contenant la valeur à modifier * Cliquer du bouton droit sur la clé concernée et sélectionner Exporter (ou par le menu Fichier/Exporter) * Choisir le dossier de destination, donner un nom convivial à la clé et cliquer sur Enregistrer. * Procéder aux modifications En cas de malheur ou de conséquences inattendues du changement dans le Registre, double-cliquer sur le fichier *.reg précédemment créé ou ouvrir l'éditeur de Registre et fusionner le fichier par Fichier/Importer. Les valeurs sauvegardées sont fusionnées dans le Registre. Remarque: Après modification du Registre ou fusion d'un fichier *.reg, l'ordinateur doit éventuellement être redémarré pour que les changements s'appliquent

Hum, tu n'as pas fait un scan de ton antivirus (MacAfee je crois) en mode sans échec car, il doit normalement supprimer ces Adware, alors tu recommences : Adware:adware/keenvalue No Désinfecté Registre Windows Dialer:Dialer.CE No Désinfecté C:\Hijackthis\backups\backup-20050804-124718-630.inf Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\1bvov5n6.exe Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\system32\eoq1sahn.dll Adware:Adware/SAHAgent No Désinfecté C:\WINDOWS\system32\svikctal.exe Pour ces 2 là : FunWebProducts (2 clés de registre impossibles à supprimer) il faut noter le chemin donné par Spybot et les supprimer dans la base de registre (si tu te sens capable de le faire .

Tu fais un contrôle normal avec tes utilitaires bien mis à jour (scan Antivirus, Ad-aware et Spybot) et si tout va bien, tu reprends une activité normale .

Bonjour à tous . Encore un sujet source de polémiques hélas. Ceci dit, et si vous aimez les scans en ligne, je vous recommande un nouveau venu dans le monde des Antispywares qui a pour avantage d'embarquer la base de signatures de l'ex CWS-Intermute (une référence dans ce domaine). Vous risquez d'avoir des surprises sur ce qu'il va trouver sur votre PC : http://www.trendmicro.com/spyware-scan/

Si tu es en mode sans échec, tu le fais. Sinon, tu peux le faire en mode normal et ensuite une fois par semaine (il dure 2 secondes). Tu nous diras ensuite si tout va bien

Bonjour Caro. Si ce fichier est bien dans C:\WINDOWS\Temp, tu redémarres en mode sans échec et tu vas le supprimer à la main (tu fais un clic droit dessus pour vérifier qu'il n'est pas en lecture seule, si oui, tu décoches la case et tu valides par appliquer puis, tu le supprimes et tu vides la corbeille). ps: ensuite, tu télécharges Computer Cleaner ici : http://www.octeam.fr/option,com_docman/tas.../Itemid,25.html puis tu le lances pour nettoyer tous les fichiers temporaires (et autres inutiles).

Re. Concernant Zeb Protect, je pense que Tesgaz te répondra avec toutes les infos utiles. Ceci dit, fermer un port ne veut pas dire que l'on ne puisse pas l'utiliser si une application le demande (pour le 135, ça m'étonnerait). edit : Tesgaz t'es vraiment trop rapide

Monsieur Propre et Ajax WC pour moi

Salut Charles . Bonne entrée en matière d'Alessio mais, faut pas tirer plus vite que son ombre avec les rapports HJT qui ménagent souvent des surprises.

Bonjour Dufourben. Infection par ce ver : http://www.sophos.com/virusinfo/analyses/w32agobotaae.html Je vois que Charles est en ligne et s'il a le temps, il va s'occuper de ton cas.

Bonjour Pec. Beaucoup de questions qui ne peuvent bien sur être traitées en un seul post. Il n'existe pas de cousu main en matière de protection d'un PC mais, des éléments de réflexion et une certaine connaisance des soft disponibles. La première des mesures à prendre serait "d'oublier" Internet Explorer pour lui substituer Firefox et le sécuriser comme indiqué ici : http://forum.zebulon.fr/index.php?showtopic=69628 la seconde porterait sur le choix d'un firewall qui doit être paramétré de façon à s'adapter à ta configuration et être cependant totalement imperméable aux attaques extérieures, ce qui n'est pas toujours évident car, il existe des firewall gruyère (sans parler de celui d'XP). S'agissant des contrôleurs d'intégrité (Prevx, tea timer ou ProcessGuard qui cohabitent mal si on les utilise ensemble dans la mesure ou ils surveillent les mêmes paramètres du systéme et se marchent donc sur les pieds), le choix est à faire en fonction de tests personnels. ProcessGuard semble être le plus efficace et le moins gourmand en ressources que les deux autres précités si (car il y a un si) toutefois tu choisis la version full ; la version free étant à mon avis trop limitée pour être protégé efficacement. Concernant Avast, je n'utilise pour ma part que les services "boucliers standard et messagerie". N'ayant pas de réseau et ne pratiquant pas le P2P et encore moins MSN, je considère donc que les autres services sont inutiles. De plus, les vrais virus étant de moins en moins nombreux, contrairement aux trojans et autres saletés qui explosent, je pense qu'il n'y a plus lieu de se focaliser sur cet outil mais, de privilégier le firewall qui est désormais le vrai gardien d'un PC. Enfin, il est plus que nécessaire d'utiliser Zeb Protect pour à tout le moins fermer les ports sensibles : http://www.zebulon.fr/articles/zebprotect.php et de désinstaller les services inutiles, voir à risques : http://speedweb1.free.fr/frames2.php?page=service4 J'espère que cela répondra, sans doute partiellement, à tes interrogations.

Je pense aussi que tu as trop de programmes de sécurité qui tournent (tous les services d'Avast par exemple + Prevx qui est très gourmand) et des services pas toujours utiles. Mon plus gros scvhost pèse 2724 ko mais, je n'ai que 2 services Avast et ProcesGuard qui ne consomme que 1200 ko. Ceci explique peut etre ta "grosse" consommation.

Ben, moi non plus (à moins que tes bestioles ne soient revenues lors de la réactivation). Désolé, mais il va falloir appliquer strictement la procédure de pré-nettoyage pour en savoir un peu plus : Bonjour et bienvenue sur Zébulon Sécurité. Dans l'immédiat, merci de bien vouloir mettre en oeuvre la procédure suivante afin que nous puissions répondre au mieux aux dysfonctionnements constatés sur ton PC : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

En effet, il y a encore pas mal de cochonneries dans le dossier Temp. Tu vas faire ceci : Démarrer / Exécuter / taper CleanMgr et valider Vider la corbeille Ensuite, tu télécharges RegSeeker : http://www.hoverdesk.net/freeware.htm tu lances un nettoyage du registre (vérifie que la case Backup avant suppression est bien cochée -en bas à gauche-), et tu supprimes tout ce qu'il trouve. Enfin, tu refais un scan chez Panda.

Merci Tesgaz pour cette oeuvre de salubrité publique et pour le repos de nos yeux (les logs HJT et Symantec si tu vois ce que je veux dire) on t'aime vraiment pas bien

Il faut des droits d'administrateur sur le PC et régler la sécurité d'IE sur moyenne. Sinon, tu fais celui de Panda : http://www.pandasoftware.com/activescan/fr...n_principal.htm

Si tu n'as rien, ça peut signifier que Spybot a repéré de vieilles entrées dans la BDR qui n'avaient pas étaient nettoyées lors de ta première infection. Va faire un scan chez bit defender pour vérifier et poste le rapport : http://www.bitdefender.fr/scan/license.php

Re. Bon, d'abord vérifier que c'est bien une entrée de funwebproducts.com dans ajout/suppression de programmes, et la virer à coup de pompes si elle existe . Voir ici, la page de désinstallation de ces cafards offerte par le donateur : http://www.funwebproducts.com/uninstall.html

Bonjour ZoX, bonjour Caro. Une info de Sophos sur cet mspmspv.exe. Il faudra penser à nettoyer la BDR après nettoyage du PC . Troj/Chum-A se copie dans le dossier système Windows sous le nom de fichier mspmspv.exe et, pour que le cheval de Troie s'exécute à l'ouverture d'une session utilisateur sur Windows, paramètre les entrées de registre suivantes : HKLM\Software\Microsoft\Windows\CurrentVersion\Run LangSupportEx mspmspv.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run LangSupportEx mspmspv.exe edit : Attention de ne pas confondre avec celui-là qui lui est légitime : Information On MsPMSPSv.exe Windows Media Player Service- MsPMSPSv.exe mspmspsv.exe is a process which normally comes with a specific update of Windows Media player. It allows for the SDMI protocol (Secure Digital Music Initiative) to be used during dealing with music media. This is a non-essential process. Disabling or enabling this is down to user preference This service can be turned off by: START > RUN > services.msc > disable "WMDM PMSP Service".

Bonjour erbaghju. Perso, je n'ai pas ces 5 DSO EXPLOIT mais, Spybot doit effectivement les supprimer avec la version 1.4.

Bonjour Tata Arlette. Je ne comprend pas que tu ais toujours ce NewdotNet en 010, vu que tu l'as supprimé avec Régédit. Essaie d'appliquer la procédure de Stonangel indiquée ci-desous :