-
Compteur de contenus
5 537 -
Inscription
-
Dernière visite
-
Jours gagnés
1
Tout ce qui a été posté par Mark
-
C:\WINDOWS\SYSTEM32\RDRIV.SYS
Mark a répondu à un(e) sujet de Roni dans Analyses et éradication malwares
Bonsoir Roni, et bienvenue sur Zeb' sécurité J'analyse le tout, et réponse dans 25 minutes.. -
Salut Jack Arff... j'avais pas vu. Par contre, le PC était toujours infecté à ce moment, donc possible que notre ami Tenga ait continué sa destruction, d'où l'échec possible de la réinstallation. Blackdog : réessaie l'installation à partir du CD, puis fais les MAJs de Windows Update. Si ça marche pas, ben va falloir remettre à neuf.. Mais reviens nous voir avant stp.
-
Bonsoir Blackdog, bonsoir à tous ; Ce que je te propose est une réinstallation de Windows 98, ce qui remplace plusieurs fichiers système. Tes données personnelles ne sont pas perdues, ni tes programmes. Microsoft recommende fortement une sauvegarde de tes fichiers importants avant de procéder, car la réinstallation comporte tout de même un risque (minime) de plantage fatal, ce qui implique un formatage du disque dur, donc perte de toutes les données. Lorsque tu auras complété l'installation (réparation), il faut tout de suite se rendre sur Windows Update et récupérer toutes les mises à jour critiques. Voici un petit tuto qui explique la procédure : http://www.01net.com/article/265988.html Y faut simplement insérer le CD de Windows 98 et réinstaller sur la même partition. Si questions, pas de gêne.. Edit : Coucou Charles
-
Bonjour Jack , bonjour Charles, bonjour blackdog77, bonjour à toutes/tous ; Ouaip... méchant ce Tenga Ça vaut la peine d'essayer Avast Cleaner ; on ne sait jamais ! Voici ce que je constate : plusieurs scans antivirus ont détecté et tué probablement tous les fichiers viraux présents. eScan a même détecté un virus que les autres avaient manqué, ce qui est à son honneur. Le problème avec ce Tenga est qu'il est dans une classe à part ; contrairement à la majorité des virus, celui-ci a été codé pour détruire. Pris rapidement, on peut peut-être s'en sortir. Les programmes antivirus ne peuvent réparer les fichiers .exe endommagés cependant, et Windows 98 n'est pas le plus robuste, ni le plus simple à réparer. Charles, je regardais cette mention de iexplorer : effectivement, c'est louche. Cependant, je crois que c'est une erreur de frappe de la part de blackdog (le même orthographe est utilisé dans le post qui précède celui de Jack). Faudra probablement faire une réparation de l'OS (sans perte de données), afin de remplacer les exécutables endommagés.. Voyons voir ce que Avast Cleaner trouvera
-
un rapport hijackthis d'un pc en etat critique!!
Mark a répondu à un(e) sujet de anasovic63 dans Analyses et éradication malwares
WOW !! Salut anasovic63, et bienvenue sur Zeb' Sécurité ! Ça, c'est le plus beau log HijackThis! de ma journée !! Un buffet bien étoffé ! Bon, va falloir bosser pour te nettoyer tout ça, alors allons-y ; Norton est périmé ? Nous allons t'en prescrire un autre antivirus, mais pas tout de suite. Voici par quoi on commence : Télécharge LSP-Fix ICI, et sauvegarde-le sur ton Bureau. Cet outil te servira seulement si tu perds ta connection internet durant le nettoyage ; tu n'as qu'à le lancer et clique sur finish pour rétablir la connection. Ne pas le lancer si bonne connectivité ! Va dans le Panneau de Configuration >> Ajout/Suppression de programmes, et désinstalle tous ces programmes (s'ils y sont) : -New.Net -Mail Skinner -Web Hancer -WhenUSearch -WhenUSave -Gator -Gain -Instant Access -Emule << doit partir !!! Ferme le Panneau de config, et ne t'en fais pas si tu n'as pas tout trouvé, ou si tu as eu des erreurs lors d'une désinstallation. Maintenant, applique la procédure de prénettoyage telle que prescrite ci-dessous, puis poste un nouveau rapport HijackThis! dans ta prochaine réponse : Courage ! On va y arriver -
J'aimerais bien savoir ce qui ne va pas
Mark a répondu à un(e) sujet de amazone dans Analyses et éradication malwares
Bonjour amazone (du Québec ?), et bienvenue sur Zeb' Sécurité Bon, je ne vois pas grand chose de nocif sur ton PC. Ceci dit, je me rends compte que tu n'as jamais appliqué les updates de Microsoft (Windows Update), donc ton ordi est très vulnérable en ce moment, car bourré de failles de sécurité. Est-ce que ton antivirus (Norton) fonctionne correctement ? Ton log me fait croire qu'il n'est pas actif en ce moment (peut-être est-il périmé ??) ; tu m'en parles dans ta prochaine réponse, car c'est important ! Je vois tu as également stoppé des processus via msconfig, ce qui m'empêche de voir ce qui tourne (rond ou pas !!). Trois petites choses pour l'instant : 1) Lance msconfig et désactive le démarrage sélectif (autrement dit, clique sur le bouton "Démarrage normal"). 2) Va dans le Panneau de Configuration >> Ajout/Suppression de programmes, et désisntalle Logitech Desktop Messenger stp (inutile et gourmand). 3) Applique la procédure de prénettoyage ("Custom Zeb" ) suivante, et poste un nouveau rapport HijackThis! tel que prescrit : À bientôt -
Bonsoir Stonangel, bonsoir punkie93250 Edit : j'avais pas vue la réponse de Punkie avant de poster. le fichier dont je parle est le "five cast.exe" Ce fichier (et sous-dossier) sont une gracieuseté de LOP. Si la recherche est faite en sans échec, on ne les voit habituellement pas. Avec l'explorateur Windows, cherche ce sous dossier en mode normal : C:\Documents and Settings\babou\Application Data\BIASKE~1 << le nom est tronqué, mais il va débuter avec "Biaske..." Si tu le vois, supprime-le (le sous dossier). Si tu ne trouves rien (avec l'affichage des fichiers/dossiers cachés activé), ben c'est peut-être juste une clé de registre orpheline que tu peux fixer avec HijackThis! (en mode normal). Si ça persiste, on pourra passer un "Lop remover"..
-
a titre d'information merci
Mark a répondu à un(e) sujet de baxter dans Analyses et éradication malwares
Salut Baxter Nos amis font dodo , mais moi j'en profite pour te demander si tu as lancé L2MFix avec l'option #2 comme BipBip te l'avait demandé ? Si oui, pourrais-tu poster le rapport stp ? -
Une geebx.dll ventouse .... + ?....
Mark a répondu à un(e) sujet de Alinus dans Analyses et éradication malwares
Bonsoir Charles , bonsoir Alinus, Pour les Hosts, ça semble aller, mais je laisse Charles regarder ! Je voulais simplement mentionner que même si tu penses avoir désinstaller IE, eh bien il est toujours bien là !! Il est pratiquement impossible de désinstaller IE avec XP, car les deux sont intimement liés. Le "core" (coeur) d'Internet Explorer est utilisé par d'autres modules dans XP (et vis-versa). C'est important de faire les MAJs pour IE même si tu ne l'utilises plus, car les méchants empruntent les failles pour s'installer !! et il existe des infections qui contournent FireFox (ou autres navigateurs) pour s'attaquer à XP via IE. Un peu complexe tout ça, mais très réel. Bon, je me tais maintenant... -
Fausses alertes des logiciels anti-malwares
Mark a répondu à un(e) sujet de Jack_Burton dans Sécurisation, prévention
Bonjour à toutes/tous Merci Jack pour ce sujet très intéressant Une petite note additionnelle au sujet de McAfee : cet antivirus détectait, il y a quelques mois de cela, la nouvelle version d'Hijackthis! (1.99.1) comme étant un virus !! Ils ont réglé le tout lors d'une MAJ, et puis quelques semaines plus tard ça recommençait ! Nous avons été témoin de ce faux-positif à nouveau, il y a un mois environ. Ça manque de sérieux.. et de communication entre les différentes équipes chez Networks Associates. Souhaitons que ça ne se reproduise plus ! -
Bonjour ipl Je suis tout à fait désolé de m'être laisser emporter dans cette discussion (qui ne devait pas en être une ). CWShredder est un tool légendaire qui mérite qu'on parle de lui !! Ben c'est Charles et Jack qui m'ont encouragé !!
-
Comment desinstaller winfixer 2005
Mark a répondu à un(e) sujet de olly dans Analyses et éradication malwares
Bonsoir olly, bonsoir Charles Je crois que nous avons de la chance... XP aime bien se cacher des copies de fichiers système un peu partout, et je viens de vérifier sur ma bécane : C:\Windows\System32\rundll32.exe (33 Ko) C:\Windows\ServicePackFiles\i386\rundll32.exe (33 Ko >> Même date de création) Si tu as bien supprimé celui dans System32, alors tu peux rechercher celui dans le sous dossier i386 et faire un Copier/Coller dans System32. Ça devrait aller ! **Faut d'abord t'assurer de bien voir les fichiers cachés/système. Pour ce faire, lance l'explorateur Windows (clic-droit sur le bouton "Démarrer" et choisi "Explorer"), puis clique sur le menu "Outils" >> "Options des dossiers" et clique sur l'onglet "Affichage" : -Coche "Afficher le contenu des dossiers système" -Active "Afficher les fichiers et dossiers cachés" -Décoche "Masquer les extensions des fichiers dont le type est connu" Bonne chasse -
Petit point d'intérêt concernant CWShredder 2.19 : ceux qui ont des fichiers Hosts personnalisés, eh bien CWShredder va en bouffer une bonne partie... Faut donc faire un backup du fichier Host avant de passer le tool.. Lien en Anglais qui explique un peu : http://www.dslreports.com/forum/remark,14803284
-
Une geebx.dll ventouse .... + ?....
Mark a répondu à un(e) sujet de Alinus dans Analyses et éradication malwares
Ben va falloir faire avec !! Doucement avec le Beaujolais, car le règlement #1 chez Zeb' : n'effectuer les fixes qu'en toute sobriété (je viens de l'inventer.. ) -
Une geebx.dll ventouse .... + ?....
Mark a répondu à un(e) sujet de Alinus dans Analyses et éradication malwares
Rebonjour ! Effectivement, tu es infecté par Vundo, qui s'éradique bien avec VundoFix, selon la bonne technique. Problème : tu as aussi Look2Me qui vient tout gâcher, et que L2MFix ne peut réparer pour l'instant (nous attendons sa nouvelle évolution prochainement). Heureusement... il existe un tool qui va t'enlever Vundo + Look2Me. Je devrais te demander de faire un pré-nettoyage maintenant, mais je me ravise... on fera plutôt du post-nettoyage Télécharge SpySweeper (de Webroot) ICI (version d'essai - 14 jours): Clic sur le lien Free Trial sous la rubrique "SpySweeper". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Post également un nouveau rapport HijackThis! avec celui de Spy Sweeper. @ plus tard.. -
Une geebx.dll ventouse .... + ?....
Mark a répondu à un(e) sujet de Alinus dans Analyses et éradication malwares
Bonjour Alinus, et bienvenue sur Zeb' Sécurité J'analyse le tout, et je poste des instructions dans 10 minutes.. -
Comment desinstaller winfixer 2005
Mark a répondu à un(e) sujet de olly dans Analyses et éradication malwares
Bon matin à tous Un tout petit commentaire au sujet de l'invite de commande à la toute fin : comme le forum ne peut reproduire cette ligne en entier (sans la couper), on ne voit pas l'espace qu'il y au bout de la première ligne (donc après regedit /e C:\run.txt). Pour plus de facilité, on peut copier/coller la commande entière dans la boîte "Exécuter", et hop le tour est joué. Tout un log -
Bon petit matin Charles, bonjour à tous Ben c'est une ancienne variante qui faisait ça ; tu dois te souvenir de ces lignes dans HijackThis! : O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Nous en avons vu beaucoup de celle-là l'hiver dernier. Nous avons eu droit à 3 ou 4 nouvelles variantes depuis Le problème avec les nouvelles variantes est qu'elles sont hyper sophistiquées, donc les utilitaires gratos comme SpyBot, CWShredder (à tester) et Ad-Aware (et A² - à vérifier) n'y peuvent rien (elles collent à Winlogon et rundll32). À tout le moins, Intermute ont compris qu'il ne fallait en ajouter trop au Shredder, car sa technologie ne lui permet pas d'attaquer les durs ; il ne peut d'ailleurs rien contre les récentes offrandes de CWS J'espère pouvoir assister au test de CWShredder vs L2M
-
Resalut Jack Très bonne question ! Je n'ai jamais vu A-squared s'attaquer à L2M. Je crois que les gens qui vendent ces tools veulent attirer l'attention avec leurs détections. Look2Me existe sous des dizaines de formes. Prenons Ad-Aware par exemple : ce tool peut détruire plusieurs fichiers VX2 (L2M), mais ne s'attaque pas aux nouvelles variantes qui sont beaucoup plus complexes. Nous pouvons installer un plugin sur Ad-Aware, qui se nomme "VX2 Plugin", qui peut combattre une version de L2M qui accompagne certaines infections par nail.exe. Ewido trouve et éradique plusieurs fichiers Look2Me également, mais se bute au fichier dll infectieux principal de la nouvelle variante. Look2Me me fait penser à CWS, vu la quantité impressionnante de variantes qui existent. Les hackers font bien leur boulot , et réagissent assez rapidement aux évolutions de tools. Chaque variante devrait porter un nom différent, afin d'y voir plus clair ; pas vraiment possible selon les experts, qui ont peine à les identifier vu l'évolution rapide. On peut comparer à SmitFraud, qui nous réserve de nouvelles surprises à chaque semaine ; SpyBot détecte des fichiers, mais n'y peut rien ! Pour tous ceux/celles infectés, rien de mieux que de poster sur Zeb' Sécurité
-
Salut Jack Quand j'ai lu ton post, et que j'y ai vu Look2Me, je me suis mis à chercher un peu... car je me souviens d'un débat qui impliquait des gens de SpywareInfo et un type d'Intermute (compagnie qui venait d'acheter les droits de CWShredder). En février dernier, avec sa version 2.12, Intermute ajoutait Look2Me à la liste des variantes ciblées par le tool. L'outil a donc été testé avec la variante de Look2Me qui circulait à l'époque (aussi connue sous le nom de variante de VX2), et c'était l'écran bleu 8 fois sur 10... Les gens de SWI ont alors fait remarquer au représentant d'Intermute que Look2Me n'était pas une infection CoolWebSearch, et qu'ils devraient se contenter de cibler celles-ci. Les gens d'Intermute n'ont pu répondre convenablement, et plusieurs discussions privées ont eu lieu suite à cet échange... Résultat : tous se sont entendus pour ne pas utiliser CWShredder sur des PCs infectés de L2M.. Les experts ont demandé à Intermute de retirer la détection de L2M, mais ils ont refusé !! Pour ce qui est de cette nouvelle version du Shredder (qui appartient maintenant à Trend Micro), je ne sais pas ce qu'elle peut faire avec L2M, mais je doute qu'elle puisse l'éradiquer. Je n'ai rien lu à cet effet jusqu'à maintenant. SpywareInfo est en reconstruction ces jours-ci, donc le topic que je cherche est non disponible (mais je l'ai trouvé dans le cache de Google ), Je poste quand même le lien, qui devrait être actif prochainement : http://forums.spywareinfo.com/lofiversion/...php/t40840.html En cache (si ça fonctionne..) : http://tinyurl.com/89bja Bon, ça date un peu comme article, mais c'est plutôt intéressant comme lecture ! Quelqu'un pourrait effectivement l'essayer ! Si ça plante, moi je me sauve...
-
mon voisin est en rade!!
Mark a répondu à un(e) sujet de yop 64 dans Analyses et éradication malwares
Bon matin à tous Ouais, je fais des recherches, et le peu que je trouve pointe vers SmitFraud... probablement la plus récente variante qui installe SpyAxe et le fameux svchosts.dll SmitRem de Noahdfear n'éradique pas ce fichier, jusqu'à date, mais SmitFraudFix (de S!Ri, Balltrap34 et Moe31) le renomme je crois. Yop, si t'as toujours pas formaté le PC, je vais laisser Charles (ou autre conseiller habitué avec SmitFraudFix) te donner une procédure avec ce tool, afin de le lancer à partir d'une disquette. Moi je t'ai prescrit SmitRem puisque je suis plus habitué avec. Je crois que ça vaut la peine d'eassayer !! -
mon voisin est en rade!!
Mark a répondu à un(e) sujet de yop 64 dans Analyses et éradication malwares
J'y ai rêvé hier soir... Salut à tous Ouais, le DOS et les invites c'est pas ma force.. mais ça demeure une option très intéressante Charles ! Il serait bon d'essayer "Dernière bonne configuration". Pour lancer SmitRem à partir de la disquette ou clé USB, faudra changer le contenu un tout petit peu. Au lieu d'y copier le dossier "smitrem" qui contient quatre fichiers, faut copier que les fichiers (sur disquette ou clé vierge), afin de pouvoir lancer RunThis.bat directement de l'invite (je crois !). Tout ça en espérant que SmitFraud soit notre coupable !! Mercredi : c'est noté -
mon voisin est en rade!!
Mark a répondu à un(e) sujet de yop 64 dans Analyses et éradication malwares
Bonjour Yop 64, Lord Vamp et Charles ; merci de vos interventions Ce qui est difficile ici, primo, c'est de savoir vraiment ce qui ne va pas avec ce PC... je soupçonne SmitFraud vu les sypmtômes, mais il est possible que ce soit autre chose. Difficile sans rapport HijackThis! ou autres indices. Yop ; mon but était de lancer SmitRem afin d'éliminer la possibilité d'une infection par SmitFraud. Cette procédure spéciale est la seule que je connaisse dans de telles conditions. Si tu ne peux même pas installer SmitRem sur le PC infecté, on est foutu quant à cette approche. Si tu peux effectuer un ou deux clics par boot, peut-être pourrais-tu installer SmitRem à la régulière, avec plusieurs redémarrages ? D'installer le DD en slave sur ton PC est une excellente idée ; si tu peux le faire, dis-le et nous te dirons quels fichiers rechercher. Tu peux également tenter la méthode "clavier" telle que suggérée par Lord Vamp ; un peu de créativité, ça peut aider ! -
mon voisin est en rade!!
Mark a répondu à un(e) sujet de yop 64 dans Analyses et éradication malwares
Bonjour Yop 64, bonjour à tous ; Allons-y. Tu devras transporter un fichier de ton PC vers le PC infecté, par disquette ou clé USB. Imprime ces instructions, car tu en auras bien besoin. Télécharge smitRem.exe (de Noahdfear) et sauvegarde-le sur ton Bureau. Double-clique sur le fichier pour ensuite extraire le contenu sur le Bureau. Maintenant tu as un dossier smitRem sur ton Bureau. Colle ce dossier sur disquette ou clé USB. De retour sur le PC infecté : redémarre en mode Sans Échec et lance le Gestionnaire des tâches. Insère la disquette ou clé USB. Dans le Gestionnaire des tâches, clique sur l'onglet "Applications" (il devrait déjà être sélectionné). Clique sur le bouton "Nouvelle tâche...". Clique sur "Parcourir...". Navigue au lecteur désiré (disquette ou clé, soit A: pour disquette, ou D, E, F, G,... pour la clé). Vérifie que tu vois bien le dossier "smitRem". Clic-droit dessus et "Copie" De retour au Gestionnaire des tâches, navigue vers "Mes Documents". Fait un clic-droit dans un espace vide et puis "Colle" le dossier dedans. Ouvre maintenant le dossier smitRem, puis clique une fois sur RunThis.bat Clique "Ouvrir". Dans la nouvelle fenêtre, clique "OK" pour créer une nouvelle tâche. Tu devras déplacer toutes ces petites fenêtres vers la gauche ou vers la droite, de façon à voir la fenêtre de SmitRem qui est cachée par celles-ci. Tu vois maintenant une fenêtre bleue. Suis les directives à l'écran. Attends que le tool complète son travail. Dans le Gestionnaire des tâches, clique sur le menu "Arrêter" (tout en haut), puis clique "Redémarrer". Le PC va redémarrer. Si tout va bien, tu pourras utiliser le PC. On verra pour la suite -
mon voisin est en rade!!
Mark a répondu à un(e) sujet de yop 64 dans Analyses et éradication malwares
Bonjour Yop 64, bonjour BipBip ; D'après les symptômes, il me semble possible que ce soit SmitFraud le coupable Parfois, cette infection empêche explorer.exe de se charger correctement, et seul le Gestionnaire de tâches est accessible. J'ai accès à une manip pour de telles conditions ; je devrai la traduire cependant !! à moins que BipBip en ait une toute prête.. Yop 64 : es-tu en mesure d'enregistrer un petit programme sur disquette, CD, DVD, ou clé USB à partir du PC que tu utilises pour poster ??