megataupe

Salut Tesgaz ; c'est plus un log, c'est la bible des malware-spyware .

Bonjour. Pour look2me, tu as un désinstalleur fourni par celui qui te l'a refilé : http://www.pchell.com/support/look2me.shtml ensuite, applique la procédure suivante : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles ----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.merijn.org/files/hijackthis.zip - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Si tu connais le fichier précis où il se trouve, tu peux le scanner avec pas moins de 13 antivirus sur ce site : http://virusscan.jotti.org/ Bonne chasse !

Bonjour Woulzy. Normalement, tu dois pouvoir nettoyer les traces de ce trojan avec A2 ou Spybot. As-tu essayé ?

Bonjour Twincam et bienvenue sur le forum Zébulon Sécurité Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles ----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.merijn.org/files/hijackthis.zip - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Bonjour à tous. Dans la panoblie des extensions de sécurité dont dispose Firefox, voici une nouvelle et très utile extension qui vous évitera de récolter des vers véhiculés par le Javascript. Pour rappel, les virus scripts utilsent les différents langages de scripts qui permettent de contrôler l'environnement d'un logiciel. Ils sont créés à partir des plus répandus : Javascript de Sun Microsystems et VB (Visual Basic) Script de Microsoft. Dérivé du VBA, ce dernier peut être utilisé dans les navigateurs (Internet Explorer), les formulaires mails (Outlook), Windows ou même dans les serveurs http Microsoft. Ils se propagent très vite grâce à Internet et se répliquent surtout par l'intermédiaire des messageries électroniques ou de scripts intégrés dans les pages HTML. On peut alors les assimiler à des vers. NoScript Permet de désactiver le Javascript globalement et de ne l'activer qu'au coup par coup uniquement pour les sites de votre choix. Cela accroît fortement la sécurité de nombreuses failles provenant de javascript. Vous pouvez également autoriser le javascript globalement et ne l'autoriser que sur les sites de confiance, mais la sécurité est alors diminuée. « Protection supplémentaire pour votre Firefox : NoScript ne permet l'exécution de scripts JavaScript que sur les domaines de confiance de votre choix (p.ex. le site de votre banque). Ce système de blocage préventif de scripts basé sur une liste blanche empêche l'exploitation de failles de sécurité (connues et même inconnues) sans perte de fonctionnalités... De plus, NoScript s'inscrit dans le menu contextuel de Firefox et vous permet d'un clic droit d'autoriser les scripts de votre Zébulon préféré (ceux-là, on les connaît ). Pour info, les deux sites ou je n'ai trouvé aucun script sont ceux d'Assiste et de Tesgaz (Ipl, va falloir revoir ton site ) NoScript en français est à charger ici (merci à l'auteur et au traducteur de cette excellente extension sécuritaire). Get Firefox !!! http://extensions.geckozone.org/NoScript

Bonjour Lili, bonjour à tous. Rien de bien grave sur ton log mais, applique quand même cette procédure pour vérification : Si tu crains que ton PC soit infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles ----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; [red](à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.merijn.org/files/hijackthis.zip - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Bonjour Esteban. Il faut d'abord vérifier que ce Delbot est bien présent dans la BDR (fais un scan avec Hijackthis). Si il y est, tu peux appliquer la procédure suivante : Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre. Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup. Recherchez l'entrée HKEY_LOCAL_MACHINE suivante : HKLM\Software\Microsoft\Windows\CurrentVersion\Run ctfmon "<dossier Windows>\cftmon.exe" et supprimez-la si elle existe. Fermez l'éditeur du registre.

De rien Jack. A bientôt, tu es ici chez toi .

Re. Dans ce post : http://forum.zebulon.fr/lofiversion/index.php/t67381.html Stonangel conseille de le supprimer. Attend son avis car, c'est peut être un exe utile au Sagem ?

Salut Gat. Tu supprimes ces 2 verrues et tu fais un scan avec Hijackthis pour vérifier qu'ils sont at tombe .

Bonjour Jack. A priori cet exe n'est pas un trojan, il est utilisé par ton mulot : Autoclik est une utilitaire de Windows "qui vous permet d'exécuter toute action de la souris sans cliquer dessus" (sert au déplacement du pointeur de la musaraigne donc).

Salut Stonangel . Si ça te rappelle quelque chose : http://forum.zebulon.fr/lofiversion/index.php/t65697.html

Tant qu'on y est, va faire un tour dans ton fichier hosts pour voir si tu n'aurais pas d'URL bizarres qui s'y sont installées. Si tu en trouves, tu les dégages et tu mets le hosts en lecture seule en ne laissant que la première ligne: local host 127.0.0.1 edit : Serflog parasite bien le fichier hosts : http://www.majorgeeks.com/download4523.html

Pas évident tout ça. Pour Serflog tu as un autre outil proposé par Secuser mais, sans garantie sans autres précisions sur ton infection. http://www.secuser.com/alertes/2005/serflog.htm

Bonsoir à tous. Trend micro propose un utilitaire pour se débarrasser de cette vermine, ou une procédure assez lourde pour le débusquer : http://fr.trendmicro-europe.com/consumer/v...ame=WORM_CHOD.B

Bonjour. Ton firewall a simplement fait son boulot. Ce genre de scan est très fréquent (combien d'entrées dans le journal as-tu pour ce VRIO ? Attaque en TCP ou UDP, s'il s'agit bien d'une attaque). A partir de 5 tentatives de connexion à la seconde, on peut considérer que quelqu'un s'intéresse à ton PC sinon, c'est de la routine.

Bonjour Léon . D'après ce que je peux constater, ce Webshield semble fonctionner à la manière du Proxomitron en analysant tout ce qui se charge sur une page web mais, sans les éliminer ou les modifier comme Spyblocker (voir ici pour une démonstration effrénée de l'activité de ce Webshield ) : http://www.umour.com/humour.html Maintenant, je n'ai pu déterminer sur quel port il travaillait (pas le 80 en tout cas) et surtout s'il était capable de bloquer un méchant spy. La question reste posée : gadget ou utilitaire efficace ? Pour ma part, je pencherai pour la première affirmation.

Bonjour Thebob, salut Pyrex . Concernant Avast, je préconise de ne pas activer en permanence les protections suivantes : -bouclier Web (double emploi avec le firewall) -bouclier P2P (efficacité non démontré) -bouclier réseau (inutile si l'on n'a pas de réseau) -messagerie instantanée (à activer uniquement pour les sessions) 2 peuvent donc tourner en résidents permanents, les autres à la demande : -bouclier standard -courrier électronique Voilou !

Bonsoir erik10. Tu devrais trouver des infos dans la base de KPF. Voici ce qu'en disent Pest Patrol et eTrust : http://www3.ca.com/securityadvisor/virusin...s.aspx?id=40247

Ben, tu me demandes ça en MP avec une adresse mail valide pour l'envoi car, le forum n'accepte pas les pièces jointes.

Il faudrait pour cela avoir de véritables attaques sur une plage assez longue en UDP ou ICMP pour pouvoir vraiment comparer. Pour moi, je pense que Phantom a voulu optimisé au maximum la fonction Stateful Packet Inspection en la décomposant et bloqué ainsi toutes les tentatives de scans vicieux en UDP et ICMP au cas ou ??? Des règles préventives en quelque sorte.

Lorsque tu télécharges Look'n'Stop, il est fourni avec (si je me souviens bien) un jeu de règles standard et un jeu de règles évoluées qu'il est préférable d'utiliser. Pour les cas spécifiques (connexion AOL, club-internet, télé2, réseau, jeux, etc..) tu peux ajouter une ou plusieurs règles en les chargeant à partir du site : http://www.looknstop.com/Fr/faq.htm Il est recommandé de placer, après importation dans ton jeu de règles, ces règles spécifiques au tout début du filtrage. Les règles PhantOm's Lite dont je parle plus haut sont un jeu de règles que j'ai concocté moi-même à partir du jeu complet proposé par Phantom sur le site Anglais de L'n'S Elles tournent très bien sur un PC qui n'est pas en réseau et qui ne demande pas d'ajout de règles spécifiques sinon, il vaut mieux utiliser le jeu de règles évoluées + les règles ad-hoc. Voilou

Bonjour Sacles . J'ai quelque peu allégé le jeu de règles PhantOm's afin de le tester et pourquoi pas, le proposer aux utilisateurs de L'n'S qui n'ont pas réellement besoin de toutes les règles, dont celles concernant le DHCP notamment. Pour le moment, ce jeu de règles "PhantOm's Lite" semble aussi impénétrable que le premier. Packet' type Status TCP "ping" stealthed TCP NULL stealthed TCP FIN stealthed TCP XMAS stealthed UDP stealthed

Oui, c'est normal, car L'n'S ne perd pas son temps à te prévenir des tentatives de scan sur ton PC : il les bloque avant qu'elles n'arrivent. un petit coup d'oeil dans le journal de temps en temps et on savoure l'éjection des intrus : toi, tu viens plus !!!