megataupe

Salut Patzepat , content de te voir sur le forum. C'est clair que l'utilisation du P2P laisse des traces sur les serveurs et a un effet boomerang. Pour s'en prémunir, il existe des parades au niveau firewall comme ce type de règle que l'on peut mettre en oeuvre, sur Look'n'Stop notamment : [Attack: eDonkey, eMule, Overnet]

Courriels infectés : les antivirus ne suffisent plus S'il est nécessaire d'avoir un antivirus maintenu à jour pour se protéger contre les vers informatiques et chevaux de Troie véhiculés par courriel, cela n'est plus suffisant dans le contexte actuel. Depuis quelques mois, des variantes de certains vers informatiques, en particulier Mytob, sont apparues à un rythme effarant, parfois avec des délais d'à peine une heure. Quand on considère que les logiciels antivirus conventionnels ne peuvent généralement détecter un nouveau logiciel malveillant qu'après avoir reçu une mise à jour par le biais d'Internet, et qu'il faut en moyenne une dizaine d'heures pour préparer et distribuer cette mise à jour, on réalise le danger de cette multiplication rapide. Et cette stratégie semble porter fruit pour les pirates informatiques car, en cette période d'accalmie relative, les palmarès des éditeurs de logiciels antivirus fourmillent de variantes de Mytob. Comme on le voyait ici la semaine dernière, Sophos et F-Secure dénombraient respectivement quatorze et treize variantes de l'asticot parmi les 20 virus les plus souvent interceptés. Dans ce contexte de multiplication rapide des variantes, la baisse de l'efficacité des antivirus est illustrée par des statistiques de Checkbridge citées par cet article du site Web de la BBC. La firme de sécurité informatique a testé trois antivirus reconnus pendant une période de cinq jours pour constater que le taux de reconnaissance des messages portant une infection variait entre 64% et 97%. Une efficacité de 64% signifie qu'un message contaminé sur trois n'est pas reconnu comme tel et qu'il est donc susceptible d'infecter l'utilisateur qui a la mauvaise habitude d'exécuter les pièces jointes aux courriels. En attendant que les antivirus conventionnels puissent détecter plus efficacement les nouvelles variantes des logiciels malveillants, notamment en utilisant des techniques heuristiques plus perfectionnées, la vieille règle qui consiste à ne pas ouvrir les fichiers joints qui ne sont pas attendus ou qui proviennent d'adresses inconnues, reste donc plus que jamais d'actualité. Source : http://www.branchez-vous.com/actu/05-06/09-234107.html

Bonjour Tangui, bonjour Takeshi. Un test de plusieurs heures (3 H 30 environ) destiné a détecter les vulnérabilités d'un PC peut également être effectué gratuitement (il suffit de donner une adresse mail valide) à partir de ce site : http://www.securityspace.com/sspace/index.html

Bonjour Roserousse . Pest patrol est un excellent produit mais, plutot dirigé vers les entreprises et il est connu qu'utilisé sur un PC home, celui-ci génère souvent des faux positifs. De plus, si tu navigues avec Firefox, il y a peu de chances que tu récoltes un BHO hostile.

Bonjour à tous. Nabuco, ou est ton nouveau log Hijackthis ? Pour répondre, svp utilises la touche répondre (entre Flash et Options) et non celle qui se trouve à coté de citer.

Un petit bonsoir pour toi aussi Stonangel ainsi qu'à tous les membres et invités qui nous lisent.

Bonsoir IPL. J'ai vu passer nail.exe sur ce log, ça doit te rappeler quelque chose .

Bonsoir n'asminou. Tu as entre-autres ce genre de cafards sur ton PC : Startup Name Process Name Details X salm salm.exe "180Search adware" X salm salm.exe "180Solutions/N-Case adware variant" commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Pour ta question 1, je pense que ceux qui ont désinstallé (pas supprimé) Messenger sauront te conseiller utilement. Pour ton problème n°2, est-ce que tu rencontres les mêmes problèmes de fenêtres si tu utilises un autre navigateur comme Firefox ? Un lien utile pour remplacer Messenger : http://telechargement.zebulon.fr/133-gaim-131.html

Bonsoir Ezyrzvey. Je vois juste sur ce rapport un cookie traceur mis en quarantaine donc, sans danger. Quand à MSN, pourquoi ne pas le virer définitivement de ton PC et utiliser un autre logiciel de communication ? Pour désinstaller Messenger, faire : "Démarrer", "Exécuter" et copiez/collez cette commande : RunDll32 advpack.dll,LaunchINFSection %windir%/INF/msmsgs.inf,BLC.Remove

Pas si vite, tu as encore du boulot pour être clean : voir tes autres post avant de respirer.

Bonsoir à tous. Il y a toujours la ligne 017 qui est plus que louche : O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED250A8-99C1-43A7-B490-50F3DFC07D00}: NameServer = 69.50.184.84 195.225.176.37 netcathost.com[Trojan.Moo.B]:195.225.176.3-195.225.176.3 Je suggère donc de reprendre la procédure depuis le début : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Bonjour Chercheur, content de te voir cet après-midi .Bon, cette IP est bien une IP utilisée par Cegetel : Information related to '84.4.0.0 - 84.7.185.255' inetnum: 84.4.0.0 - 84.7.185.255 netname: CEGETEL-INTERNET-RESIDENTIEL descr: INTERNET RESIDENTIEL CEGETEL France descr: Bloc - 13 remarks: ***************************************** remarks: For Hacking, Spamming or Security problems remarks: send mail to : remarks: **************@cegetel.net remarks: ***************************************** remarks: Pour les plaintes sur les aspects Securite remarks: Merci d'envoyer un e-mail a : remarks: **************@cegetel.net remarks: ***************************************** country: FR admin-c: NST2-RIPE tech-c: NST2-RIPE status: ASSIGNED PA mnt-by: CEGETEL-ENTREPRISES changed: *******@esplanade3000.net 20050414 source: RIPE Comme tu sais désormais ouvrir et manipuler le fichier hosts, tu vas copier l'intégralité du fichier hosts que tu trouveras ici : http://www.mvps.org/winhelp2002/hosts.txt (dans ton navigateur: Edition/tout sélectionner/copier) ensuite, tu retournes dans ton fichier hosts WINDOWS/SYSTEM32/DRIVERS/ETC, tu l'ouvres de nouveau avec le bloc-note puis, tu supprimes tout ce qu'il contient et tu colles l'intégralité de ce que tu as copié sur le site indiqué ci-dessus. Tu l'enregitres ensuite sous hosts (sans extension) et tu le mets en lecture seule (tu auras désormais un peu plus de 22 000 sites douteux interdits de séjour sur tonPC).

Bonjour Flax. Tu exécutes la commande suivante : démarrer/exécuter/dans la fenêtre tu tapes cmd puis ok, une fenêtre dos va s'ouvrir dans laquelle tu vas copier puis coller la ligne suivante : ipconfig /all puis tu cliques sur entrée et tu reléves les numéros qui apparaissent en face d'adresse IP (exemple : Adresse IP 80.11.23.56) et tu nous les indiques.

Bon, c'est déjà ça en attendant car, il te faudra un vrai pare-feu et pas le jouet de Microsoft qui ne filtre rien en sortie. Un peu plus d'infos sur la sécurisation d'un PC ici : http://forum.zebulon.fr/index.php?showtopic=64246

Ca, c'est un anti-spyware, pas un pare-feu ou firewall comme Zone Alarm ou Kério. Comme tu es toujours en SP1, as-tu donc activé le pare-feu de Windows ? (démarrer/panneau de configuration/connexions réseau/connexion au réseau local/propriétés de connexion au réseau local/paramétres avancées, vérifier si la case du pare-feu est cochée ou non).

Bonjour à tous. Bonjour Panturle et bienvenue sur le forum Zébulon Sécurité Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Bonjour. Attend l'avis de Tesgaz pour un éventuel nettoyage de printemps. Ceci dit, je n'ai pas vu de firewall sur ton log (F-prot comme antivirus : ok). Utilises-tu le parefeu de Windows ?

Bonjour quemare et bienvenue sur le forum Zébulon Sécurité Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles. nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage du cache Java (ajouté par mégataupe) par CCleaner, à télécharger sur le site de l'auteur (ouvrir l'onglet applications, décocher toutes les cases sauf celle concernant Internet/ Sun Java puis, cliquer sur lancer le nettoyage). http://www.ccleaner.com/ccdownload.asp examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite, poster un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.spywareinfo.com/~merijn/downloads.html - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Je crois que la description du célébre virus sasser devrait répondre à ta question : Le ver Sasser est programmé de telle façon à lancer 128 processus (1024 dans le cas de la variante SasserC) chargés de scanner une plage d'adresses IP aléatoire à la recherche de systèmes vulnérables à la faille LSASS sur le port 445/TCP. Le virus installe un serveur FTP sur le port 5554 afin de se rendre disponible en téléchargement aux autres ordinateurs infectés, Puis, lorsqu'une machine vulnérable est trouvée, le ver ouvre un shell distant sur la machine (sur le port TCP 9996), et force la machine distante à télécharger une copie du ver (nommée avserve.exe ou avserve2.exe pour la variante Sasser.B) dans le répertoire de Windows. Une fois le fichier téléchargé, il crée un fichier nommé win.log (ou win2.log pour la variante Sasser.B) dans le répertoire c:\ afin d'enregistrer le nombre de machines qu'il réussi à infecter. Puis il crée des entrées dans la base de registre afin de se relancer automatiquement à chaque redémarrage : * HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avserve = avserve.exe ou HKLM\Software\Microsoft\Windows\CurrentVersion\Run avserve.exe -> C:\%WINDIR%\avserve.exe Le virus appelle la fonction "AbortSystemShutdown" afin d'empêcher le redémarrage (ou sa désactivation) par l'utilisateur ou par d'autres virus,

Comprend pas Tesgaz . Cegetel à les IP suivantes : Information related to '212.94.173.0 - 212.94.174.255' inetnum: 212.94.173.0 - 212.94.174.255 netname: CEGETEL descr: Cegetel country: FR admin-c: OM514-RIPE tech-c: OM514-RIPE status: ASSIGNED PA mnt-by: LDCOM-MNT changed: *****************@ldcom.fr 20010725 celle-là : 195.225.176.37 est en Ukraine !!! Information related to '195.225.176.0 - 195.225.179.255' inetnum: 195.225.176.0 - 195.225.179.255 netname: NETCATHOST descr: NetcatHosting country: UA admin-c: VS1142-RIPE tech-c: VS1142-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-by: NETCATHOST-MNT mnt-routes: NETCATHOST-MNT notify: **@netcathost.com changed: **********@ripe.net 20040304 source: RIPE remarks: **************************************** remarks: * Abuse contacts: *****@netcathost.com * remarks: **************************************** person: Vsevolod Stetsinsky address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 206. phone: +38 050 6226676 e-mail: **@netcathost.com nic-hdl: VS1142-RIPE changed: **@netcathost.com 20040303 source: RIPE Que penser de ce PC ? Transformé en zombie ?

Bonsoir Clement . En effet, il manque le lien que voici, qui était toutefois dans l'article originel du lien précédent (celui de Generation-NT) : http://www.generation-nt.com/actualites/58...rive-en-France/

Pour répondre à ta question : Ou se trouve le fichier hosts Dans Windows 95/98/Me: c:\windows\hosts Dans Windows NT/2000: c:\winnt\system32\drivers\etc\hosts Dans Windows XP Home/XP Pro: c:\windows\system32\drivers\etc\hosts Si vous êtes sous Windows XP et que, éventuellement, vous sentez un ralentissement lors de la navigation sur le Web, vous devrez alors désactiver le service "Client DNS". Pour cela, allez dans le menu "Démarrer" et choisissez "Exécutez...". Là, tapez "services.msc" et cliquez sur OK. Recherchez le service "Client DNS", arrêtez-le puis désactivez-le (clic droit -> Propriétés). Tu ouvres ce fichier hosts avec le bloc-notes puis, après avoir vérifier que tu n'as pas d'adresses suspectes après la ligne 127.0.0.1 localhost, tu colles les lignes suivantes en dessous de cette ligne 127.0.0.1 localhost 127.0.0.1 1spyware-removal.com 127.0.0.1 cybergations.com 127.0.0.1 jointventureforprofit.com/spy/ 127.0.0.1 palsol.com 127.0.0.1 palsol.biz 127.0.0.1 palsol.net 127.0.0.1 spy-bot.com 127.0.0.1 spybot-scan.com 127.0.0.1 spybot-scanner.com 127.0.0.1 spybot-virus-scan.com 127.0.0.1 spybotsd.com 127.0.0.1 spyware1.com 127.0.0.1 spywarefinder.net 127.0.0.1 spywarekiller.us 127.0.0.1 spyware-virus-scan.com 127.0.0.1 spyware-virus-remover.com 127.0.0.1 trojan-virus-scan.com Tu refermes le bloc-notes puis, tu fais un clic droit sur ce fichier hosts/propriétés/tu coches lecture seule/appliquer/ok. Ensuite, repostes un log d'hijackthis pour vérification.

Une bonne explication des risques chez Kaspersky : http://www.kaspersky.com/fr/virusinfo?chapter=162265916

Es-ce que tu l'as installé sur ton PC ?