megataupe

Bonsoir xtsxalex. Je pense que tu devrais désinstaller ton IE et réinstaller la dernière version d'IE 6 (si tu veux absolument l'utiliser).

Nod 32 à ce que je me souviens n'embarque pas de firewall. Par contre, il détecte bien ton trojan (j'ai vérifié dans sa base). Pour ton cafard, voici ce qu'en dit Sophos : Troj/Ranck-L est un cheval de Troie de porte dérobée qui permet à l’intrus distant d’acheminer le trafic HTTP à travers l'ordinateur. Afin de s’exécuter au démarrage du système, Troj/Ranck-L paramètre l’entrée du registre suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchosts32 Troj/Ranck-L fonctionne en permanence en tâche de fond, surveillant un port TCP choisi au hasard entre 10000 et 50000. Le cheval de Troie envoie vers un serveur Web distant des informations concernant le port mis sous surveillance via une requête Web. Désinfection Récapitulatif Description Désinfection Cette section vous indique comment procéder à la désinfection de ce virus. Veuillez suivre les instructions de suppression des chevaux de Troie. Windows NT/2000/XP/2003 Dans Windows NT/2000/XP/2003 vous allez également devoir modifier l’entrée du registre suivante. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l’avertissement concernant la modification du registre. Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L’éditeur de registre s’ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup. Recherchez l’entrée HKEY_LOCAL_MACHINE : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchosts32 et supprimez-la si elle existe. Fermez l’éditeur du registre. Quand tu auras supprimer cette entrée (si elle existe), tu fais les mises à jour de sécurité du SP1, tu télécharges un vrai Firewall (voir ici pour le paramétrer): http://speedweb1.free.fr/frames2.php?page=tuto1 et tu nous tiens au courant.

A première vue, ton log est propre (nettoyage d'Antivir ?) mais, attend l'avis d'IPL ou des autres spécialistes pour confirmation. Peux-tu me dire si ce : Dsp24Set.exe que l'on trouve sur cette ligne O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n correspond bien à ta carte son ? Sinon, Nod 32 est un bon antivirus et s'agissant du pare-feu, tu as le choix entre Zone Alarm Outpost et Kerio en gratuit (le mieux est de les tester).

T'inquiéte IPL, nous allons nous forger les moyens de déloger ces crapules (le mieux serait de les empêcher d'entrer avec Zebprotect 2 ) mais, ça passera très certainement aussi par une lecture attentive des ports ouverts sur le PC infecté si je m'en référe au post de Punkie notamment :

Bonsoir Morko. Avant de passer au Mac que je connais très bien mais, qui n'est plus épargné par les attaques désormais, applique la procédure suivante : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Il est clair que nous sommes tous d'accord pour considérer qu'HijackThis n'est plus le "sésame" du nettoyage d'un PC infecté, même si son utilisation reste indispensable pour vérifier ce qui est "visiblement" actif et à supposer nocif. Sans doute, devrons nous porter plus d'attention à l'examen des processus actifs et surtout des ports ouverts (forcément utilisés par les trojans pour communiquer) et, il apparaît que dans ce domaine nous avons pas mal d'excellents outils à notre disposition : ceux cités par Tesgaz notamment, auxquels j'ajouterai l'excellent CurrPorts qui est disponible en français : http://softrads.etrad.net/

Re. Je ne suis pas du tout certain que le futur de la lutte anti-malware doive passer par l'utilisation de softs plus ou moins efficaces, surtout quand je lis ce qui suit concernant Rootkitrevealer : Vous devriez examiner toutes les anomalies et déterminer la probabilité qu'elles indiquent la présence d'un rootkit. Malheureusement, il n'y a aucune manière définitive de déterminer, basé sur le rendement, si un rootkit est présent, mais vous devriez examiner toutes les anomalies rapportées pour vous assurer qu'elles sont explicables. Si vous déterminez que vous faites installer un rootkit, recherchez l'enchaînement les instructions de déplacement. Si vous êtes incertain quant à la façon enlever un rootkit vous devriez restructurer le disque dur du système et réinstaller Windows. http://www.sysinternals.com/Utilities/RootkitRevealer.html Maintenant, libre à ceux qui veulent se prendre le chou de se faire peur avec des chasseurs de zombies qui leur dirons en définitive de réinstaller Windows . Prévention et sécurisation restent les maîtres mots qu'il nous faut continuer de marteler en offrant aux utilisateurs du forum les moyens d'y parvenir.

Bonjour à tous . Bon, j'ai installé le chercheur de rootkit (ProcessGuard était tout cramoisi et j'ai du le désactiver le temps de l'install) pui, lancé le scan. Résultat des courses : il me trouve une entrée 0 bytes dans la branche HKLM Software, késako Un faux fuyant sans doute. M'est d'avis que je ne vais pas tester plus longtemps ce trappeur d'illusions détruites (0 bytes = le néant qui par définition est invisible ).

Salut Chepiok . Si tu veux juste éviter le phishing, spoofstick est très suffisant. Si tu veux en savoir un peu plus sur le site visité, Netcraft est dans ce cas plus recommandée. Voili

Bonjour Kryptal. Définition fournie par...............Symantec (qui s'y connaît dans ce domaine) : Un faux positif, également appelé fausse détection ou fausse alarme, se produit lorsqu'un programme antivirus détecte une chaîne virale connue dans un fichier non infecté. Le fichier, qui en réalité n'est pas infecté par un virus, contient une chaîne de caractères correspondant à la chaîne d'un virus réel. Un faux positif peut également se produire lorsqu'un programme exécute une action qu'un programme antivirus identifie comme une activité virale. Norton AntiVirus par exemple utilise la technologie heuristique Bloodhound pour détecter toute activité virale. Voici des exemples de ce type d'activité : l'écriture sur la zone amorce principale du disque dur, les modifications apportées à un fichier système ou encore l'exécution d'une macro personnalisée dans un programme tel que Microsoft Word. Cette liste n'est pas exhaustive. Les détections erronées, une fois vérifiées, sont généralement corrigées dès que possible.

Je ne suis pas certain, mais il me semble que ce lien renvoie sur leur base de données : http://www.anti-spy.info/process/_a.html

Tu vas encore te faire gronder par IPL . http://forum.zebulon.fr/index.php?showtopic=71455

Bonsoir IPL . J'ai déjà testé ces deux softs qui, à mon avis, sont loin du niveau de Process explorer.

Bonsoir Tirol. Ce n'est pas encore ma fête mais j'accepte bien volontiers la critique lorsqu'elle est constructive. NoScript est une extension contraignante dis-tu ? Je te rappelle qu'il est possible dans NoScript d'autoriser le javascript globalement en cliquant sur le petit S en bas de la page, ou de désinstaller cette extension si elle est perturbante. Pour ne pas douter de son efficacité, je te renvoie à la lecture de cet excellent post sur ce sujet (les scripts dangereux) : nb : afin de ne pas sous-estimer le risque bien réel que représente l'utilisation du Javascript sans aucun contrôle, je vous invite à lire très attentivement ce fil de discussion initié par Adams.Family, lequel "démonte" en détail une attaque Javascript récente et, en corrollaire, conclu en la nécessité de s'en protéger à l'aide d'une extension telle que NoScript. http://forum.zebulon.fr/index.php?showtopic=70319 Enfin, comme c'est mon jour de gloire, je te conseille de tester une autre extension anti-parano (pour te citer) : ShowIP http://l4x.org/frontpage/showip

Hum, pas sur que ce soit le problème. Clique sur download et non sur install pour charger le fichier au format xpi puis, réduis la fenêtre de Firefox et glisse ce fichier xpi dedans, l'extension devrait s'installer sans problème (méthode valable pour tous les xpi des extensions pour Firefox).

Bonsoir Nico. Cette version d'Adblock est légérement différente car, si elle part du même noyau elle apporte quelques options qui peuvent être intéressantes, comme la liste blanche par exemple. Sinon sur le moteur d'AdBlock lui-même elle ajoute la possibilité de bloquer des DIV ou encore de faire des règles spécifiques à certains sites, ce qui accroît quand même pas mal notre champ d'action.

Salut Jumpin . Tu vas faire un tour dans les préférences d'Adblock Plus/Aide/Débuter avec Adblock pour l'explication souhaitée. En pratique, tu télécharges un filtre comme celui de Strato que tu places sur ton DD, ensuite tu l'importes dans Adblock Plus et dans Préférences/Options d'Ablock, tu coches synchroniser automatiquement.

Bonjour à tous. Pour celles et ceux, j'espère très nombreux, qui ont installé cette formidable extension qu'est Adblock, je signale la sortie en français d'Adblock Plus qui apporte les petits plus suivants : * Possibilité de céer une liste blanche permettant d'adapter le filtrage. * Synchronisation automatique du fichier de filtres. * Afficher une icône ou un bouton à la place du texte dans la barre d'état. Pour télécharger Adblock Plus en français (cette version tourne parfaitement sur Firefox 1.0.6) : http://bene.sitesled.com/install.htm aller au troisième bloc 'adblock Plus 0.5.8+ release'

Bonjour deruelle. D'après ce que j'ai vu sur Pest Patrol, il vaudrait mieux supprimer cette clé (effectuer une sauvegarde de la branche, ou de la clé, avant suppression, pour le cas ou tu devrais restaurer) : http://www3.ca.com/securityadvisor/virusin...s.aspx?id=43002

Bonjour à tous et plus spécialement à IPL et Olivier . Concernant DiamondCS cité par IPL, n'oublions pas que ceux-ci nous offre ce remarquable soft qu'est ProcessGuard qui, en version full malheureusement, vous protége très efficacement des sinistres rootkits puisqu'il interdit le contournement d'une application et l'accés à la mémoire physique ainsi que l'injection de dll dans le registre, surveillé par Registryprot..........bien évidemment .

Bonjour Nico, bonjour à tous. Pour le web francophone, je choisirai plutot celui du site strato qui évite de bloquer des sites français peu connus des anglophones: http://strato.sphere.free.fr/antipub.php#hosts Sinon, Firefox + Adblock embarquant le filtre strato (toujours lui) = adieu la pub http://adblock.free.fr/

Je ne pense pas. Il faudrait plutot essayer avec une distribution Linux Knoppix par exemple pour pouvoir supprimer ce furieux.

Bonsoir à tous. Sous ce lien, une méthode qui a permis de supprimer cette terreur après beaucoup d'efforts (à voir ?) : http://www.geekstogo.com/forum/My_log_RESO...t41531-s30.html

Et oui BipBip , il voit tout notre gourou en chef . Ce fichier : n'existe pas si l'on n'utilise pas la daube espace Wanadoo (il n'y a même pas de dossier Wanadoo dans Program Files). Un conseil, supprimer cet espace de vaurien et créer une connexion manuelle.

Bonjour adams . Merci pour ce suivi ma foi fort intéressant, il est simplement dommage que tous les internautes n'applique pas les consignes de sécurité que l'on ne cesse de répéter, sans parler du cas Norton (une confirmation de plus de ses grandes lacunes ) .