-
Compteur de contenus
1 984 -
Inscription
-
Dernière visite
Tout ce qui a été posté par tornado
-
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, J'ai pas vraiment trouvé de réponse claire à ta question, au sujet de tes sous-clés identiques de la clé .DEFAULT Ne les supprime pas pour l'instant... Cependant, je veux bien voir ce que donne un scan avec Spybot pour voir ce que cela donne A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Ok Sélectionne le mode Administrateurs (CHRISTOPHE-V\Administrateurs) et choisis Contrôle total uniquement. Le mode "lecture" autorise l'utilisateur à lire le contenu de la clé, mais pas à la modifier, à l'inverse du mode contrôle total, qui permet de modifier son contenu (et a priori, cela permettrait de supprimer la clé) Donc ça devrait normalement fonctionner ainsi (J'espère ) Bizarre... étant donné que la sous-clé DEFAULT représente l'utilisateur par défaut, ses modifications devraient être appliquées à tous les utilisateurs (les autres sous clés) et non l'inverse . Je vais essayer de me renseigner, parce que là, je rame A+ -
Connection trés lente
tornado a répondu à un(e) sujet de pmlgeek dans Analyses et éradication malwares
Re, Je faisais autre chose cette après-midi (révisions ) Je vois que tu as déjà pris de l'avance... . Donc ok si tu as bien vidé ta boite Outlook Peut-être peux-tu te tourner vers un autre client de messagerie, plus sécurisé (au moins essayer ), pour éviter de recevoir ces spams (filtrage mail pas assez efficace sous Outlook, failles non corrigées ... ). En voici une liste => http://benoit.aun.free.fr/securite-facile-php/crosoft.php (tu peux visiter le site en entier... il est vraiment bien fait ) Qu'en est-il de ta connexion ? On va terminer par un scan Blacktlight, pour vérifier si il ne subsiste pas un malware caché ou rootkit sur ton système : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, Ca pourrait être possible si l'on en croit cet article => http://www.zebulon.fr/articles/gestionnaire_taches.php Je ne préfère pas trop m'apesantir dessus... ce ne sont que des Hypothèses (bien que fondées) Bon, pour les clés incriminées dans le registre, on va procéder manuellement, via Regedit, car il se peut qu'on ait besoin de modifier les autorisations sur la clé (sûrement une des raisons pour laquelle Spybot n'a aucun effet) : - Va dans démarrer > exécuter > tape Regedit et clique sur OK - Depuis la partie gauche du regedit (avec les 5 grandes branches), rend toi jusqu'à la clé suivante : Voilà ce que ça donne (j'ai créé une clé bidon au même endroit) : - Fais un clic droit dessus et choisis Autorisations - Dans Noms d'utilisateur ou de groupe, sélectionne ton nom d'utilisateur - Ensuite, en laissant sélectionné ton nom, dans Autorisations pour [TON NOM D'UTILISATEUR] , choisis Autoriser pour toutes les lignes (Lecture/ contrôle total/ éventuellement Autorisations spéciales). - Clique ensuite sur OK pour appliquer les changements - Pour finir, supprime la clé Fun Web Products dont tu as modifié les droits : Fais un clic-droit dessus et choisis Supprimer. Clique sur OUI Fais strictement la même manip pour les clés suivantes : ======================================= - Après avoir fait ceci, scanne ton pc avec Spybot (met le à jour via [Vacciner] au préalable et indique moi le resultat du scan A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, Tu as raison, Funwebproducts est bien lié à Mywebsearch (un des programmes fourni avec)... J'aimerais bien que tu agrandisses ta capture ... pour voir le nom des clés, et faire une suppression manuelle. Crée une régle pour Msn dans Zonealarm... ça devrait aller. Un petit tuto pour ZA => http://benoit.aun.free.fr/securite-facile-php/zonealarm.php Le chemin que tu indique : C:\WINDOWS\system32\wbem pour wmiprvse.exe montre que c'est bien un processus Windows et non un processus maleveillant => http://www.generation-nt.com/processus/mic...miprvseexe/220/ Donc tu peux autoriser "WMI à accéder à la zone sûre" Y a au moins une chose qui fonctionne :P ... nan je plaisante A+ PS: Mouais... bis repetita -
[RESOLU] Parefeu déconecté, et plus de connexion internet
tornado a répondu à un sujet dans Analyses et éradication malwares
Re, Mouarf... je viens de me rendre compte que j'avais oublié de te faire fixer une ligne dans Hijackthis Je suis vraiment désolé, je ne devais pas être réveillé ce jour là : 1/ Déconnecte toi du net et ferme le navigateur (IE) 2/ Lance Hijackthis, do a system scan only et coche la ligne suivante : Ferme toutes les fenêtres à part celle d'Hijackthis et clique sur "Fix checked" 3/ Reconnecte toi au net 4/ Vérifie qu'Internet Explorer est bien paramétré pour les activex => http://www.inoculer.com/activex.php3 (voir Paramétrer Internet Explorer) 5/ Essaie le scan en ligne de Kaspersky => http://webscanner.kaspersky.fr/ Le tuto si tu n'y arrives pas => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 NB: Pense à sauver le rapport comme dans le tuto A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, De rien, c'est un plaisir de t'aider... merci pour ces mots gentils Je vais maintenant tenter ( ) de répondre a tes questions : Cela revient au même. L'entrée d'un programme dans "ajout/suppression de programmes" permet juste de lancer son désinstalleur, au même titre que le raccourci "désinstaller" dans Menu démarrer. Il arrive souvent que l'on ne trouve pas de raccourci désinstaller dans le menu démarrer, c'est là que l'outil cité est vraiment utile. Ca arrive souvent que les programmes ne soient pas correctement désintallés, car leur dossier dans C:\Program Files n'a pas été supprimé (il subsiste souvent les réglages de l'utilisateur pour un jeu par exemple, ou même des sauvegarde comme pour Hijackthis). Sinon, ce n'est pas vraiment propre de supprimer le dossier d'un programme directement sans l'avoir désinstallé normalement car il peut subsister certains éléments du programme (services etc). Dans les 2 cas, et même si tu procèdes correctement à la désinstallation du programme, un nettoyage du regsitre (avec jv16 powertools / regseeker par exemple) peut s'avérer utile, car certains programmes ne font pas par eux même la suppression de leurs clés/valeurs dans le registre, au cours de la désinstallation Pour Hijackthis, il subsiste sûrement un dossier Backups (dans le dossier mère), qui contient les sauvegardes des lignes que tu as fixées... tu peux le supprimer sans problèmes. Ils possèdent des similitudes avec l'outil d'ajout suppression de programmes, donc ils ne sont pas vraiment utiles. Il est vrai qu'ils peuvent servir losrqu'un programme déjà désinstallé a toujours son entrée dans la liste "ajout/suppression de programmes". Il suffit alors de la supprimer; avec l'un des logiciels que tuy as cités. Fais quand même bien attention à ne pas supprimer l'entrée d'un programme installé Pour finir, je vois que tu parles de nettoyage de printemps... et ton rapport Hijackthis est assez "long", beaucoup trop de programmes "inutiles" au fonctionnement correct de ton pc sont lancés au démarrage. Je t'invite donc à poster ton rapport Hijackthis dans le forum "optimisation/sécurisation", en vue d'une optimisation du système... A+ PS: Wouhou ... la france a marqué -
Re, Blacklight n'a rien détecté, et c'est plutôt une bonne nouvelle On peut à présent considérer ton système comme propre Avant de sécuriser ton pc, on va remettre certaines choses en place : * Je t'avais fait faire ceci pour avoir accès à tous les fichiers => A présent, recache tous ces dossiers pour ne pas en effacer un par erreur ! * Ensuite, je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection : Vundofix => maintenant inutile, et c'est un outil très ciblé, à ne pas manipuler sans l'avis d'un "expert" Les pages Web Blacklight => utilisation délicate car ne détectepas tout le temps des fichiers potentiellement dangereux Tu peux à présent les supprimer, car ils ne te seront plus utiles (et vide la corbeille) * Pour terminer, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php ---------------------------------------------------------------------------------------------------------------------------- Je remarque que tu entretiens déjà bien la sécurité de ton système (antivir + zonealarm). Donc, quand tu auras fait la partie "remise en place", tu peux suivre ces étapes : 1/ Avant toute chose, met à jour Windows via le site suivant => http://update.microsoft.com/windowsupdate/...ault.aspx?ln=fr (fonctionne uniquement sous Internet explorer) J'espère que cette fois-ci, tu rencontreras moins de problèmes. De toute manière, si il y a problème, on pourra éventuellement le pallier... 2/ Lis et applique ces quelques conseils de sécurité : Pour en savoir plus, consulte la page de ipl_001: http://gerard.melone.free.fr/IT/IT-AM0.html 1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC : => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE ! : => IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) http://www.spywarewarrior.com/uiuc/resource.htm => ZebProtect (pour sécuriser les ports de ton PC, très simple) - Tutorial : http://www.zebulon.fr/articles/zebprotect.php - Téléchargement : http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du PC : http://www.pcflank.com/ => SpywareBlaster : http://www.javacoolsoftware.com/downloads.html Son tuto : http://www.ordi-netfr.org/tutorialspywareblaster.html => Ad-Aware SE de Lavasoft http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm http://tutopat.hostonet.org/viewtopic.php?t=207 => SpyBot-Search & Destroy de Patrick Kolla http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php => Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre : http://www.diamondcs.com.au/index.php?page=regprot => Ewido : http://download.ewido.net/ewido-setup.exe c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente) mais il reste efficace ! Mets le à jour avant de scanner ton PC. 2)- Les utilitaires pour nettoyer le PC : => Clean Up 40 : http://www.stevengould.org/software/cleanup/ - Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées : * Empty Recycle Bin * Delete Cookies * Delete Prefetch files * Cleanup! All Users Puis lance le scan (cleanup) - aide en image : (merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm => EasyCleaner de Toni Helenius (installe le dans son dossier) http://personal.inet.fi/business/toniarts/files/EClea2_0.exe Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose. http://personal.inet.fi/business/toniarts/ecleane.htm Tutorial : http://www.uptoopc.net/nettoyer/temporaires.php http://www.uptoopc.net/nettoyer/registre.php http://www.uptoopc.net/nettoyer/autresfonctions.php => ATF-cleaner par Atribune : http://www.atribune.org/public-beta/ATF-Cleaner.exe C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton naivigateur alternatif. En voici le mode d'emploi : Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. => RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks"). Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://www.hoverdesk.net/freeware.htm - Tutorial : http://www.zebulon.fr/articles/regseeker-1.php => JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner. A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant. Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html - Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php - Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware : NB : Même si la possibilité de sécuriser IE est proposée, je te recommande cependant d'essayer Firefox, qui est beaucoup plus sécurisé... (n'intègre pas les activex souvent infectieux etc ) Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection... Tu peux donc tous les garder, en les utiliser régulièrement. Si tu veux plus des précisions... je suis là A+
-
[Résolu] PC infecté par le cheval de troie Hacktool Rootkit
tornado a répondu à un(e) sujet de syntax dans Analyses et éradication malwares
Salut syntax, Rien à signaler sur tes 2 rapports Peut-être voudrais-tu avoir un pc plus réactif, un peu plus rapide au démarrage? Si oui, je conseille de poster ton log dans le forum optimisation/sécurisation. Si je résume, pour garder un système propre, en plus de la protection du firewall et de l'antivirus, tu peux - Scanner ton pc régulièrement avec ton antivirus bien sûr, mais aussi avec les antispywares/antitrojans donnés (ewido, ad-aware, spybot...) - Nettoyer le système fréquemment avec un nettoyeur de registre (jv16 par exemple) et un nettoyeur de fichiers temporaires ( ATF-cleaner, CCleaner) - Utiliser un navigateur sécurisé comme Firefox (très important) - Et surtout, adopter une attitude prudente sur le net Est-ce plus clair ainsi ? Je sais que ça reste un peu long à faire... donc prend ton temps A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, Blacklight n'a en effet rien trouvé... et tant mieux Merci pour cette précision, au moins, je ne répèterais plus l'erreur Je crois maintenant qu'on peut considérer ton système comme propre. On va maintenant remettre certaines choses en place sur ton système : * Je t'avais fait faire ceci pour avoir accès à tous les fichiers => A présent, recache tous ces dossiers pour ne pas en effacer un par erreur ! * Ensuite, je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection : Les pages Web Blacklight => utilisation délicate car ne détectepas tout le temps des fichiers potentiellement dangereux Tu peux à présent les supprimer, car ils ne te seront plus utiles (et vide la corbeille) * Pour terminer, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php ---------------------------------------------------------------------------------------------------------------------------- Je remarque que tu entretiens déjà bien la sécurité de ton système (antivir + za + antispywares). Donc, quand tu auras fait la partie "remise en place", tu peux suivre ces quelques conseils de sécurité, pour préserver un pc propre à l'avenir : Pour en savoir plus, consulte la page de ipl_001: http://gerard.melone.free.fr/IT/IT-AM0.html 1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC : => Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe : - Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/ - Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628 Si tu veux toujours utiliser IE ! : => IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !) http://www.spywarewarrior.com/uiuc/resource.htm => ZebProtect (pour sécuriser les ports de ton PC, très simple) - Tutorial : http://www.zebulon.fr/articles/zebprotect.php - Téléchargement : http://telechargement.zebulon.fr/123.html => Si tu veux tester ton firewall : scanner les ports du PC : http://www.pcflank.com/ => SpywareBlaster : http://www.javacoolsoftware.com/downloads.html Son tuto : http://www.ordi-netfr.org/tutorialspywareblaster.html => Ad-Aware SE de Lavasoft http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto http://home.tiscali.be/schouppeguy/adawarese/adawase.htm http://tutopat.hostonet.org/viewtopic.php?t=207 => SpyBot-Search & Destroy de Patrick Kolla http://spybot.safer-networking.de/fr/download/index.html Son tuto http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php => Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre : http://www.diamondcs.com.au/index.php?page=regprot => Ewido : http://download.ewido.net/ewido-setup.exe c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente) mais il reste efficace ! Mets le à jour avant de scanner ton PC. 2)- Les utilitaires pour nettoyer le PC : => Clean Up 40 : http://www.stevengould.org/software/cleanup/ - Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées : * Empty Recycle Bin * Delete Cookies * Delete Prefetch files * Cleanup! All Users Puis lance le scan (cleanup) - aide en image : (merci à Balltrap34) http://pageperso.aol.fr/balltrap34/democleanup.htm => EasyCleaner de Toni Helenius (installe le dans son dossier) http://personal.inet.fi/business/toniarts/files/EClea2_0.exe Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose. http://personal.inet.fi/business/toniarts/ecleane.htm Tutorial : http://www.uptoopc.net/nettoyer/temporaires.php http://www.uptoopc.net/nettoyer/registre.php http://www.uptoopc.net/nettoyer/autresfonctions.php => ATF-cleaner par Atribune : http://www.atribune.org/public-beta/ATF-Cleaner.exe C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton naivigateur alternatif. En voici le mode d'emploi : Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. => RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks"). Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://www.hoverdesk.net/freeware.htm - Tutorial : http://www.zebulon.fr/articles/regseeker-1.php => JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner. A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant. Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème. - Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html - Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php - Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware : NB : Même si la possibilité de sécuriser IE est proposée, je te recommande cependant d'essayer Firefox, qui est beaucoup plus sécurisé... (n'intègre pas les activex souvent infectieux etc ) Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection... Tu peux donc tous les garder, en les utiliser régulièrement. A+ et si tu ne saisis pas quelque chose, je suis là -
[RESOLU] Parefeu déconecté, et plus de connexion internet
tornado a répondu à un sujet dans Analyses et éradication malwares
Salut, Le rapport Hijackthis est propre, beau boulot Pour panda, j'ai oublié de signaler que tu dois désactiver le bouclier web d'avast ( clic droit sur dans la barre des tâches => arrêter le service => bouclier web ) En effet, avast déctecte l''activex de panda comme infectieux mais ce n'est pas le cas... les éditeurs d'avast n'ont toujours pas réglés le problème Le tuto pour panda si tu n'y arrives pas => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 A+ -
Salut jich, Nesquik, Merci Nesquik pour ces explications claires Les réseaux etc, c'est pas trop mon truc Pour ton test de sécurité, jich, rien à signaler... ce port 113 fermé (pour msn et Cie) est propre à Zonealarm. Donc aucunn problème de paramétrage C'est en effet "bizarre" que tu sois infecté au bout de 30 secondes. Je ne pense pas que le problème provient totalement de l'absence de Firewall. Je viens en effet de remarquer que ton système n'est pas à jour (pas de SP2). Peut-être qu'un pirate a profitéd'une faille de sécurité non corrigé (système pas à jour) pour infecter ton pc. De toute façon, il faudra que tu mettes à jour Windows quand on aura terminé la désinfection (je te le rappellerais). Car ça ne sert à rien de sécuriser avec divers outils, si le système a lui même des failles. Pour le routeur (firewall matériel), si j'ai bien compris, il n'y en a pas sur ta freebox ? Si tu n'es pas encore prêt, ça ne posera pas vraiment de problème pour ta sécurité. Le routeur est un petit "plus" pour ta sécurité. ATF-cleaner les a normalement supprimé (car utilisé pour le nettopyage de fichiers temporaires également) Tu peux quand même aller vérifier Sinon le rapport Panda donne: C'est bien, panda ne détecte que des cookies Tu vas faire un dernier scan, avec un outil pour détecter les malwares cachés (ou rootkits) : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe A+
-
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, La plupart du temps, il ne supprime pas les fichiers détectés, mais il arrive qu'il le fasse. (sacré panda) On l'utilise en réalité uniquement pour sa capacité à détecté les malwares, quitte à devoir les supprimer à la main... Sinon, ok pour Antivir, on attendra un peu A+ et bonne soirée -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, En effet, Panda a détecté 2 fichiers infectieux, mais ne les a pas supprimé... Si la suppression des fichiers en mode normal ne fonctionne pas, fais-le en mode sans échec. 1/ Déconnecte-toi du net 2/ Supprime les fichiers suivants via l'explorateur Windows : - C:\Documents and Settings\Christophe\Mes documents\Mes fichiers reçus\SmileyCentralSetup2.0.3.12.exe - C:\WINDOWS\system32\f3PSSavr.scr 3/ Vide la corbeille 4/ Nettoie ton registre avec Jv16 powertools (pour supprimer les traces éventuelles dans le registre des fichiers supprimés) : Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. 5/ Reconnecte-toi à internet 6/ A présent, tu vas scanner ton système avec un outil qui détecte les malwares cachés (ou rootkits) : Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe A+ PS: As-tu toujours le problème avec Antivir ? -
Salut, Tu veux parler de routeur ? C'est en effet mieux si tu l'actives, car il complétera le boulot du firewall logiciel. Voir cette page => http://benoit.aun.free.fr/securite-facile-...rewall.php#A.Un composant matériel Mais je pense plutôt à une mauvaise configuration du firewall. Peut-tu faire le test de sécurité de zéb => http://www.zebulon.fr/outils/scanports/test-securite.php et m'indiquer le résultat ? Sinon, pour les infections indiquées par panda... il y a une trace du ver alcan. On va dans un premier temps supprimer les malwares trouvés par panda, et utiliser un outil qui supprimera toutes les traces du ver : (pense à enregistrer la page comme dans la procédure précédente, car il va falloir redémarrer en mode sans échec) 1/ Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe (très important). 2/ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. 3/ Supprime les fichiersdossiers suivants (en gras) : - C:\WINDOWS\keyboard61.dat => le fichier - C:\WINDOWS\SkFDSyBCUklTVE9X => le dossier - C:\WINDOWS\uninstall_nmon.vbs => le fichier 4/ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : alcanshorty.bfu - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\alcanshorty.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. 5/ Nettoie ton système avec Easycleaner, ATF-cleaner et jv16 (comme précédemment) : 6/ Redémarre en mode normal, fais à nouveau le scan de panda, et poste le rapport obtenu A+ et bonne chance
-
Identification d'un VIRUS
tornado a répondu à un(e) sujet de Arthuss dans Analyses et éradication malwares
Salut Arthuss, Ca ressemble à une infection du type Desktop Hijack (modification du bureau), mais j'en suis pas sûr. Pour venir à bout de cette infection, commence par appliquer la procédure de pré-nettoyage => http://forum.zebulon.fr/index.php?showtopic=83986 Quand tu auras fait ça, moi ou quelqu'un d'autre s'occupera de ton cas A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Bonsoir, Ton nouveau rapport Hijackthis est propre, beau boulot Et Ewido a bien bossé On va maintenant faire le scan en ligne de panda, pour vérifier que ton pc est clean --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) - Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan et met-le dans ton prochain post Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 A+ -
Re, Beau travail, le rapport Hijackthis est propre Maintenant, on va vérifier si rien d'autre ne traine sur ton système, en faisant le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE) - Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index ) - Installe l'activex - Suis les instructions - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan et met-le dans ton prochain post Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 A+
-
Re, La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte. Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver Télécharge et installe les logiciels suivants au préalable - Ewido anti-malware --> http://www.ewido.net/en/download/ - A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel) - Fais la mise à jour - ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe - Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html - Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html - Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://www.zebulon.fr/articles/base-de-registre-3.php (comme indiqué précédemment) ----------------------------------------------------------------------------------------------------------------------------- 1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].) 2/ Va dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: Windows Update Manager Tool Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK Lancer Hijackthis, choisir Open the Misc.Tools section la fenêtre "Configuration va s'ouvrir cliquer sur Delete a NT service... la fenêtre "Delete a Windows NT service" va s'ouvrir Entrer dans la zone de dialogue : UpdateManagerTool Note : assure-toi de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer. Cliquer NO 3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes : O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe - Clique sur le bouton "fix checked" 4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante : 5/ Recherche et supprime les fichiers/dossiers en gras via l'explorateur Windows (si ils existent encore) - C:\WINDOWS\System32\mswap.dll - C:\WINDOWS\update\updmangr.exe - Vide la corbeille 6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools Easycleaner -Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons -Supprime tout ce que te propose Easycleaner -Vide la corbeille ATF-cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus Jv16 powertools - Mettre le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Cliquer sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout" puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées. (si il ya quelque chose qui t'échappe, sers toi du tuto de la page web ) 7/ Fais un scan avec Ewido: - Lance un "scan complet" - Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections" - A la fin du scan, sauve le rapport - Vide la quarantaine 8/ Répète l'étape 6/ , mais sers toi uniquement de Jv16 cette fois 9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure. A+
-
Re, Bon visiblement, vundofix a légèrement buggé... il indiquait qu'il ne parvenait pas à supprimer certains fichiers, mais il a quand même dû les supprimer. Et bon signe, ton rapport Hijackthis ne montre plus de traces de Vundo Je prépare une procédure pour le reste des infections... réponse dans 15 min ~ A+
-
[RESOLU] Parefeu déconecté, et plus de connexion internet
tornado a répondu à un sujet dans Analyses et éradication malwares
Re, Je parle d'un rapport Hijackthis, généré en mode normal (celui que tu as mis a été fait en mode sans échec) En effet, comme Windows démarre avec le minimum de processus en mode sans échec, on les voit pas tous dans ton rapport Hijackthis (première partie d'un log hijackthis) A+ -
Antivir et Heuristic/Exploit.HTML
tornado a répondu à un(e) sujet de cristobal61 dans Analyses et éradication malwares
Re, Pour le fichier .htm, pas de problèmes, ça reviendra au même Pour l'affichage, c'est normal. En mode sans échec, Windows démarre avec le minimum de processus. Et parmi ceux qui ne sont pas démarrés, on retouve les drivers de la carte graphique, qui ne sont pas chargés. Si tu veux savoir pourquoi on fait redémarrer en mode sans échec, c'est parce que, la plupart du temps, les processus des malwares ne se lancent pas en mode sans échec (contrairement au mode normal). Et ainsi, ça facilite leur suppression (en gros, je synthétise ) Donc tu ne peux rien faire... c'est vrai que ces détails sont parfois génants, mais ça ne devrait pas t'empêcher d'appliquer la procédure? Bonne chance et au boulot ! -
Re, Le tool a eu visiblement pour supprimer certaines .dll Est ce que tu peux réutiliser une nouvelle fois vundofix ? N'oublie pas les rapports A+
-
Salut jich et bienvenue sur le forum sécurité de zéb, Ton rapport montre en effet des signes d'infections... Une question : Connais tu ce programme ? => CleanTemps.cmd Bon, sinon, ton pc est infecté par le trojan Vundo, qui nécessite un outil spécial pour son éradication : Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Démarre ton PC à nouveau. Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. On s'occupera des autres infections dans une prochaine procédure... A+ PS: Pense à désinstaller Antivir, car tu possèdes déjà l'antivirus de zonealarm (cela peut créer des conflits)
-
[RESOLU] Parefeu déconecté, et plus de connexion internet
tornado a répondu à un sujet dans Analyses et éradication malwares
Re, Tu pourrais mettre un rapport fait en mode normal ? Sinon, tu peux faire le scan en ligne de panda (même si tu l'as visiblement déjà fait) => http://www.pandasoftware.fr/Activescan/Activescan.html - Choisis un scan "Disques locaux" - A la fin du scan, clique sur "sauver le rapport" - Copie le rapport du scan (le contenu d'Activescan.txt) et met-le dans ton prochain post A+