megataupe

Salut Olivier. C'est la chez les zombiesdoo-doo.

Merci pour l'info. J'espère que l'ami Pierre n'a pas de gros soucis ?

Bonsoir à tous, bonsoir IPL . Depuis ce matin, le forum sécurité d'assiste est injoignable de même que iamnotageek.com depuis peu. Quelqu'un aurait-il des informations ?

Bonsoir arno 2000 et bienvenue sur le forum Zébulon Sécurité En attendant qu'un de nos spécialistes te réponde, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Hélas Tesgaz, ces pauvres wanadiens à qui l'on propose les meilleurs anti-attrappe-tout de la planéte et qui voient leur PC transformé en poubelle utilisé par des crapules. Il serait peut être temps que les FAI, et wanadoo en particulier, s'interrogent sur ce qui transite par leurs serveurs lors d'attaque en déni de service et repérer aussi les PC vecteurs pour informer leurs clients : cher abonné, nous avons le plaisir de vous annoncer votre inscription au club des Wanazombies .

Prolexic, une firme américaine qui se spécialise dans le filtrage des attaques par déni de service distribuées, a publié un classement des réseaux qui hébergent le plus de PC zombies, c'est-à-dire des ordinateurs infectés qui sont ensuite contrôlés à distance par des malfaiteurs. Selon les statistiques mondiales de Prolexic, c'est le fournisseur AOL qui trône au sommet des réseaux les plus infestés de PC zombies, suivi par l'allemand T-dialin.net et le FAI français Wanadoo. En ce qui concerne les pays d'origine des PC zombies, les États-Unis arrivent en première place avec 18%, mais c'est Hong Kong qui occupe la tête du classement si on tient compte du nombre de PC compromis par habitant. Prolexic déclare que ses données ont été recueillies au cours des six derniers mois pendant des tentatives d'attaques distribuées. Autres détails et palmarès complets chez Prolexic : http://www.prolexic.com/zr/ Source : BRANCHEZ-VOUS.com

Bonjour xavisax et bienvenue sur le forum Zébulon Sécurité Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Bonjour Parallel Universe. Personnellement, j'ai pour principe de tout interdire et d'autoriser à la demande mais, je n'utilise pas Kério et ce n'est peut être pas la bonne méthode avec ce firewall ? D'après ce que je peux voir ici : http://www.vulgarisation-informatique.com/kerio.php il y a un équilibre à trouver entre ce qui peut entrer ou ne pas sortir.

Ben, pourquoi voudrais-tu fixer ces 2 lignes : 1- c'est la barre d'outils de MSN (il a peut être envie de la garder ) stmain.dll est un module lié à MSN Toolbar 2- utile à la messagerie Incredimail (il a peut être pas envie de s'en séparer )

Tout à fait mon cher Sacles , il suffit de placer les URL en début de hosts sous la forme (pour google par exemple) : 66.102.9.99 www.google.fr edit: SpyBlocker ne supporte d'ailleurs aucun autre fichier hosts que le sien. Egoïste le Paul Kurland.

Bonjour. Un peu de lecture ici pour retrouver la trace de ton fichier hosts: http://www.zebulon.fr/articles/spybot_2.php Attention : le fichier hosts de Spybot ne commence pas par la ligne 127.0.0.1 localhost et il faut donc rajouter cette ligne si l'on veut utiliser le fichier hosts de Spybot.

Ok Lilium. J'ai un peu étudié ton log et à mon avis, il ne devrait y avoir que quelques retouches à effectuer mais, attendons l'avis des experts à l'oeil aguerri.

Bonjour Tesgaz, bonjour à tous . Pas évident en effet de répondre à cette question, vu les multiples options offertes par ce fichier hosts. L'un des sites de référence pour le fichier hosts est malheureusement en Anglais mais, reste quand même accessible aux anglophobes : http://remember.mine.nu/ Un hosts de 32000 lignes peut également être chargé sur ce site : http://www.hosts-file.net/downloads.html Un autre site bien connu des "spécialistes" propose également un fichier hosts actualisé assez régulièrement et à mon avis assez bien construit (nombreux doublage des lignes en www) pour une utilisation normale (pas à haut risques donc) : http://www.mvps.org/winhelp2002/hosts.txt Voilà, voilou !

Bonjour lilium. Attend que l'ami queruak se penche sur ton log car, je ne suis pas encore aussi costaud que The Doctor Malware .

Hello queruak !!! Content de te voir de retour sur le forum avec ton clavier qui dégaine plus vite que son ombre .

Pour ça IPL : Protocol: ayb associé à lop.com

Stonangel, Tesgaz. Bizarre la ligne o18 : Only a few hijackers show up here. The known baddies are 'cn' (CommonName), 'ayb' (Lop.com) and 'relatedlinks' (Huntbar), you should have HijackThis fix those. Other things that show up are either not confirmed safe yet, or are hijacked (i.e. the CLSID has been changed) by spyware. In the last case, have HijackThis fix it.

Bonjour Lilium Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Et moi une autre car, si tu m'envoies ton super rootkit, tu auras droit à ce genre de cadeau de bienvenue : fu.exe tried to install a driver/service A la tienne

Juste un zest de culture pour clore le sujet : Un « rootkit » est un programme ou un ensemble de programmes permettant à un pirate de maintenir -dans le temps- un accès frauduleux à un système informatique. Le pré requis du rootkit est une machine « déjà » piratée. La fonction principale du « rootkit » est de simplifier, voire automatiser, la mise en place d'une ou plusieurs « backdoors ». Ces « portes dérobées » (utilisables en local ou à distance) permettent au pirate de s'introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l'accès frauduleux initial. De plus, certains « rootkit » opèrent une suite de modifications, notamment au niveau du noyau (kernel) permettant de cacher des fichiers, des processus... Rien à voir donc avec un virus ou ver de nouvelle génération. Un « rootkit » ne se réplique pas. L'installation d'un « rootkit » nécessite des droits administrateurs sur la machine, notamment à cause des modification profondes du système qu'il engendre. Cela signifie que le pirate doit initialement disposer d'un accès frauduleux, avec les droits du « root » sous linux par exemple, afin de mettre en place son « rootkit ». A aucun moment un « rootkit » ne permet de s'introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passes qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l'accès à d'autres machines. Certains « rootkit » sont également livrés avec des collections d' « exploits », ces petits bouts de code dédiés à l'exploitation d'une faille bien déterminée. Le but est d'aider les pirates dans leur conquête de machines encore vierges. Le rootkit automatise l'installation d'une porte dérobée ou d'un cheval de Troie. Le ver automatise l'exploitation d'une vulnérabilité à travers le réseau et peut accessoirement installer une backdoor une fois au cœur d'une machine. Le « rootkit » n'a de raison d'être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Par transitivité, pas de faille, pas de rootkit. La discrétion est l'essence même du « rootkit ». Il permet à un pirate de cacher son intrusion et sa présence sur une machine. Le meilleur moyen de se protéger des rootkit est donc de se prémunir des failles. Pour finir, les « rootkit » existent depuis plusieurs années. D'ailleurs, le projet Chkrootkit dédié au développement d'un outil de détection de « rootkit » pour les plateformes Linux, *BSD, Solaris et HP-UX a été démarré en 1997. Le phénomène n'est donc pas nouveau. En 2002, Securityfocus faisait état des avancements en matière de « rootkit » pour les plate-formes Microsoft Windows.

Salut Tesgaz . Moi non plus, même si on annonce leur arrivée depuis des années. Ca ne doit pas être si évident que ça à compiler les futurs fantômes des PC .

Si à tout ça, tu ajoutes un peu de bon sens et que tu restes un membre actif (ne pas hésiter à poser des questions, à apprendre par la lecture du problème des autres) et attentif de Zébulon ; que tu fasses régulièrement tes mises à jour système et logiciels alors, tu seras un internaute heureux et sans doute désireux d'apporter ta pierre à l'édifice prévention et sécurité qui anime les membres de ce forum. A bientôt

Le filtre strato est à charger ici (en haut à droite, fichier txt) : http://adblock.free.fr/ puis, tu ouvres Adblock/préférences/options d'adblock/importer des filtres. Tu indiques le chemin du fichier téléchargé puis, tu valides. Pour les autres extensions, tu les trouveras ici : http://extensions.geckozone.org/Firefox/ Netcraft ici : http://toolbar.netcraft.com/

Faux positif peut être car, ton log est propre. Pour les antispy, ton choix est judicieux mais n'oublie pas de sécuriser Firefox (extensions Adblock + le filtre strato, NoScript, la barre Netcraft), tu auras déjà 90% de parasites en moins.