oGu

Merci de cette info! Faites-tourner le message, je viens de poster sur Libellules et Assiste. A+!

Yo! Hijackthis ne peut pas fixer les 023, pour ce faire il faut passer par la console des services. On sait qu'elles sont jumelles car le nom de leur compte apparait dans le rapport.Eh oui on a l'oeil!

Salut! Comme le dit Sacles: - il faut terminer l'inspection de ton PC - il ne sert à rien de superposer les logiciels de protection: ce qui compte, c'est d'avoir un comportement sécurisant sur Internet, secondé par des outils choisis et maîtrisés. La preuve: tes logiciels anti-trucs ont plié devant Beagle, et Beagle s'est installé du fait de ton erreur ou de ta négligence. CQFD ! ---------------------------------------------------------------------------------------------------------------------------- Comme tu le souhaites; elle n'est de toute façon pas infectieuse; elle se "contente" de faire du profiling à des fins commerciales et publicitaires. Alors Yahoo! connaît tes habitudes de surf depuis des annéess ---------------------------------------------------------------------------------------------------------------------------- Avant de poursuivre: Assure-toi, si ce n'est déjà fait, que tu as bien supprimé le Crack à l'origine de ton infection, et que tu as vidé la corbeille. dobe Assure-toi, si ce n'est déjà fait, que tu as bien désinstallé le logiciel cracké: Adobe Creative suite 3 Master puis nettoie le registre avec l'onglet "erreurs" de CCleaner. ---------------------------------------------------------------------------------------------------------------------------- Ces drivers et exécutables sont les stigmates de Beagle: en toute logique EliBagla les a supprimé d'après son rapport, et a restauré le démarrage sans échec désactivé par le rootkit. Pour t'assurer que tout est résolu, relance BlackLight et poste le rapport. Nota: je ne connais pas les produits Adobe, mais je suis très surpris par le nombre de fichiers cachés d'Adobe Photoshop Lightroom 1.3...Ce logiciel aurait-il été installé par la suite crackée?? Essaie de m'en dire plus si tu le peux. ---------------------------------------------------------------------------------------------------------------------------- Analyse du rapport HijackThis: il est propre, mais j'ai une petite interrogation:à quoi correspond ces adresses serveurs?? O17 - HKLM\System\CCS\Services\Tcpip\..\{FEEF3D11-B89E-4957-A97D-3B23809FF073}: NameServer = 200.118.2.66,200.118.2.85,63.245.1.3 Il reste des traces de GoogleToolbar: relance HijackThis, sélectionne "Do a scan only" et coche si elles existent encore les lignes suivantes: O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll (file missing) O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe Puis clique sur "Fix Checked" en bas et redémarre. Il faut ensuite supprimer le service Google: -Dans Démarrer > Exécuter et taper Services.msc puis OK Choisir le mode "Etendu" (onglets inférieurs) Grâce à la barre de défilement (à droite) rechercher le service suivant: Google Updater Service (gusvc) Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche). Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter, puis dérouler le Type de Démarrage pour le modifier en Désactivé Cliquer sur Appliquer puis OK - Lancer Hijackthis, choisir Open the Misc.Tools section - La fenêtre "Configuration" va s'ouvrir - Cliquer sur Delete a NT service... - La fenêtre "Delete a Windows NT service" va s'ouvrir Entrer dans la zone de dialogue : Google Updater Service Note : s'assurer de ne mettre d'espace, ni avant, ni après ! cliquer OK Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez redémarrer. Cliquer YES Nota: il se peut que HijackThis t'indique "not found in the registry" à la fin de l'opération. Dans ce cas signale-le moi et poste un nouveau log HijackThis que l'on s'assure que ce service ait disparu. ---------------------------------------------------------------------------------------------------------------------------- Pour terminer le nettoyage de ton PC: nettoie ton PC avec CCleaner Scanne à nouveau avec Antivir mais cette fois poste le rapport scanne ton PC en ligne avec Kaspersky AntiVirus: attention cela ne fonctionne que sous Internet Explorer: Tuto de Malekal: http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566 N'oublie pas de poster le rapport. Scanne ton PC avec l'antispyware gratuit, portable et discret: Ewido AntiSpy Micro-Scanner http://download.ewido.net/ewido_micro.exe Double-clique sur le logiciel, laisse-le faire sa mise à jour, puis scanne sans toucher aux réglages par défaut. Si Ewido te trouve des spy, sauvegarde le rapport avec la touche "Save report" en bas, poste-le ici, puis supprime tout avec la touche "Remove infections". Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Double-clique sur Combofix, il va te poser une question, répond par la touche 1 et "entrée "pour valider. Attend que Combofix ait terminé. un rapport sera créé, Poste le. Quand tout sera propre, on pourra éventuellement sécuriser ton PC avec quelques outils simples. A suivre...

Oui.Assurément plus que l'avis d'un utilisateur isolé de tel ou tel firewall.

Bonjour; toujours selon le test Matousec, ZA Free se classe comme "très pauvre en protection": http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php Autant ZA Pro est un excellent produit, autant ZA Free profite d'une réputation usurpée.

Salut; PC Tools se classe comme "pauvre en protection" d'après le classement de Matousec qui ne prend en compte QUE les sorties ("leaktests"), c'est à dire ce qui sort de ton PC et se dirige vers le net: http://www.matousec.com/projects/windows-p...sts-results.php Pour les entrées (d'Internet à ton PC), je ne connais pas de tests.Il faut aussi prendre en compte la consommation en ressources et la prise en main pour juger de la qualité d'un pare-feu. A noter que les pare-feu sont rarement mis à jour (le mien, Look'n'Stop, ne l'a pas été depuis des mois) car, contrairement aux antivirus et antispywares, les firewalls ne nécessitent pas de base de données à actualiser.

Salut à vous deux! C'est effectivement Beagle, on s'en doutait vu les symptômes de désactivation des softs sécurotaires et le driver caché: HIDR. Tu es entre de bonnes mains avec Angélique qui est bien plus compétente que moi. A+ !

Bonsoir; il faut absolument désactiver le pare-feu XP si tu en installes un autre: désactive-le à partir de ton Panneau de Configuration, rubrique "Pare-feu". Tu pourras ainsi constater si oui ou non Comodo l'a désactivé tout seul; dans le cas contraire fais-le toi même.

Salut. Erreur de ma part post édité!

Re, ZA Free jouit d'une réputation en partie usurpée: autant ZA Pro (payant) est un excellent pare-feu (encore qu'il semblerait que l'éditeur ait récemment frayé avec des sociétés peu recommendables), autant sa version free est dépassée pour le contrôle des leaktests (les "sorties") et n'apporte rien de plus que celui de XP pour les entrées (à ma connaissance, mais les tests manquent comme le dit Sacles). Par contre il consomme plus de ressources que le firewall Microsoft. Si tu choisis de le conserver, pense à désactiver le pare-feu XP dans ton "panneau de configuration". A+

Salut Falkra. Mon credo rejoint celui de Sacles: pour les débutants, un pare-feu bidirectionnel est un casse-tête, et j'ai constaté d'expérience que les utilisateurs finissent par accepter toutes les demandes de sorties pour ne pas être ennuyés.J'ai même vu des proches désactiver le pare-feu car il était trop bavard à leur goût... Admettons qu'un utilisateur se chope un troyen; le pare-feu intercepte la sortie et affiche un message du type "Le processus hlgdr.exe se connecte au web sur le port 1225; autoriser?". Le windowsien lambda sera tenté de dire "oui"... C'est pourquoi je conseille aux néophytes de se contenter du pare-feu XP, suffisant pour filtrer les entrées. Mais si NeoKakyl se sent d'attaque, alors Comodo est une bonne solution en freeware.

Salut! Quel type de pare-feu cherches-tu?? -un bi-directionnel (qui nécessite quelques connaissances) ? -un pare-feu simple d'accès? -un pare-feu à règles? -freeware ou payant? -un pare-feu avec des fonctionnalités HIPS comme le pare-feu de Comodo dont te parles Bleuet, ou quelque chose de moins "ambitieux"? Tout dépend en fait de tes désirs et de ton niveau: pour un néophyte qui ne connait pas grand chose à XP et ne souhaite pas se renseigner, celui de XP est suffisant. Surtout si tu te trouves derrière un routeur, qui peut officier comme première ligne avec son pare-feu logiciel. Dis-nous en davantage, sinon tu devras te contenter d'une litanie d'interventions du type "Jetico c'est le meilleur", "Comodo je l'utilise et il est très bien", "OutPost est très complet", "Look n Stop est super léger et efficace"...

Salut! Ok, on reprendra à ce moment-là. Les toolbars n'ont d'autres objectifs que de glaner des renseignement sur ton profil à des fins publicitaires.Rien de grave, nous sommes d'accord (elles ne sont pas infectieuses), mais tout à fait déconseillées. En général, les services qu'elles proposent relèvent du gadget, et on retrouve les mêmes services sans toolbar . Voir l'analyse de la Yahoo! Toolbar par le très sérieux site Assiste: http://assiste.forum.free.fr/viewtopic.php?t=18997 Et ces deux articles plus généralistes: http://assiste.com.free.fr/p/abc/a/barres_...ls_toolbar.html http://forum.malekal.com/viewtopic.php?f=45&t=6173 Non, à condition de la désinstaller après avoir fermé Firefox. A nouveau un article complet et accablant sur Incredimail signé Assiste: http://assiste.com.free.fr/p/logitheque/incredimail.html J'ignore si tu peux migrer vers Thunderbird (à vérifier) mais je te le conseille, Thunderbird étant la meilleure messagerie gratuite, surtout au niveau de la gestion intelligente et transparente du spam. Non; la version Slim est identique aux autres SAUF qu'elle n'embarque pas la satanée Yahoo! Toolbar... Je m'en doutais J'ai besoin de savoir quel est ce programme, et si tu as utilisé un crack ou une keygen pour l'installer...C'est essentiel pour connaître le type d'infection que tu as attrapé. J'espère aussi que tu en tireras les leçons (ma première -et seule- infection est aussi venue d'un crack, c'est à partir de là que je me suis intéressé de prêt à la sécurité et à la désinfection, et la première chose que j'ai faite a été de cesser limmédiatement e peer-to-peer). Ok, c'est simplement que je ne connaissais pas ce programme et que mes recherches n'ont rien trouvé de probant à son sujet; pas de crainte de ce coté-là donc. A +.

Arf non, pas le temps aujourd'hui...le jour où tu auras le temps envoie moi un mp, j'ai souvent du temps libre (surtout durant les congés scolaires) du fait de mon métier, donc n'hésite pas. A+

Pareillement! Tiens -nous au courant si possible, que l'on sache si le problème venait de là. On pourra éventuellement sécuriser / optimiser un peu le PC si tu le souhaites, mais en attendant il est impératif de remettre en marche la restauration système: - dans "démarrer", "executer", tape "services.msc" puis "ok". Cherche la ligne "service de restauration système " et double-clique dessus. Dans la fenêtre qui s'ouvre, règle le démarrage sur "automatique" puis valide avec "appliquer " et "ok". - Clique-droit sur "poste de travail", puis dirige-toi sur "propriétés". Va dans l'onglet "restauration système" et décoche la case "désactiver la restauration système sur tous les lecteurs". - Enfin, redémarre. A suivre...

Re; Idem pour ProSecurity.

Salut; Incredimail est un logiciel espion,et les symptômes que tu évoques sont ceux d'un rootkit. Mais il n'y a rien d'étonnant à cela vu que tu utilises le peer-to-peer, facteur essentiel d'infections en tout genre, et par ailleurs contraire à la charte du forum Zebulon...Voir ces liens: http://forum.zebulon.fr/index.php?showtopic=85544 http://forum.zebulon.fr/index.php?act=SR&f=40 Dommage de mettre son PC en danger, non?? On y va! 1-A quel moment as-tu constaté ces dysfonctionnements? Quel manip'/installation/téléchargement en a été la cause?? C'est essentiel pour continuer. 2- Désinstalle Emule, Google Toolbar, Yahoo Toolbar et Incredimail, et supprime dans C:\Program Files tous les fichiers les concernant. Nota: les toolbars sont des logiciels publicitaires: http://forum.malekal.com/viewtopic.php?f=45&t=6173 3-Télécharge Ccleaner Slim: http://www.ccleaner.com/download/builds/downloading-slim Lance-le et nettoie ton PC avec l'onglet "Nettoyer" et l'onglet "erreur". nota: répondre "oui" quand CCleaner te demande l'autorisation de faire une sauvegarde des erreurs réparées. 4-Télécharge BlackLight de F-Secure sur ton bureau: ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe Accepte la licence, puis clique sur "scan"; si l'outil trouve des "hidden files", poste alors le rapport ici même (il se trouvera sur ton bureau) 5- Relance Hijackthis en poste un nouveau log. 6-Télécharge sur ton bureau Process Explorer de M.Russinovich Clique sur l'executable "procexp" puis sauvegarde un rapport en cliquant en haut sur "file" puis "save". Le rapport est créé sur le bureau sous le nom Procexp (en format txt). Copie-le dans ta réponse. Par ailleurs: Héberges-tu un serveur ou un site? Il semblerait que oui au vu des outils que tu utilises.Du coup, sais-tu à quoi correspond cette ligne: O4 - HKLM\..\Run: [full_presence] "C:\Program Files\Internet\FTP\Full Présence\full_presence.exe" ? A suivre...

Re, le service A2 nécessaire au scan par clic droit peut-être réglé sur "manuel": ainsi il ne démarre que si nécessaire. AVG AntiSpy, au contraire, impose de laisser le service en auto, et c'est bien dommage...

Entièrement d'accord. C'est pourquoi mon pare-feu (Look'n'stop) se contente de jouer son rôle de pare-feu, idem pour mon antispyware (Spyblocker), et je les protège avec mon HIPS. C'est pourquoi je ne suis pas intéressé par exemple par Comodo, ou par Outpost qui fait les 3 à la fois. Le site Assiste développe depuis longtemps l'idée que chaque outil doit se contenter de faire ce pourquoi il est prévu, et pas davantage, et qu'en conséquence les suites de sécurité sont déconseillées.

Salut. Le souci justement, c'est qu'il n'existe pas une "configuration type" des HIPS...Et que le HIPS touche à tous les processus, y compris ceux qui sont vitaux. Pour rappel: un HIPS doit TOUJOURS passer par une période d'apprentissage: les 4 que je connais pouur avoir tourné avec (feu ProcessGuard, SSM,EQSecure, Prosecurity -ces 3 là étant sans doute les meilleurs du moment) proposent ainsi un "learning mode" qui configure "par défaut" tous les processus tournant (d'où l'intérêt d'avoir à la base un système sain, sinon le HIPS considère le malware comme faisant partie intégrante du système...) Ne pas oublier de REBOOTER plusieurs fois de suite pour que le HIPS prenne en compte les drivers, services etc...nécessaires au démarrage de XP, dans le cas contraire le PC ne démarrera plus. Une fois que tu as rebooté plusieurs fois et lancé les logiciels que tu utilises (navigateur, lecteurs vidéo...) en "learning mode", tu peux activer le HIPS qui interceptera dès lors toute nouvelle action. Je peux répondre sans problème à tes questions su ProSecurity, qui ressemble beaucoup à SSM.EQSecure est gratuit et tout aussi performant, mais il est très compliqué à configurer, je l'ai laissé tomber pour cela. D'après mes lectures, DSA est un bon compromis: il est gratuit, relativement simple à prendre en main (pour un HIPS, entendons-nous bien! A ne pas installer sur le PC de la mamie!) et offre une protection correcte.Il peut être un bon marche-pied pour débuter avec dans l'idée de passer à terme à un HIPS plus évolué.

Re, - As-tu passé Elibagla? Si oui, poste le rapport ( il se trouve ici > C:\InfoSat.txt) ------------------------------------------------------------------------------------------------------------------------- - Ni Antivir ni Comboscan ne voient de fichiers cachés. Tant mieux. *Redémarre, puis essaie un scan avec BlackLight pour confirmer qu'il ny a plus rien, puis poste le rapport s'il trouve quelque chose. *Relance HijackThis et assure-toi qu'il n'y ait plus cette ligne: O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe ------------------------------------------------------------------------------------------------------------------------- - Tu as sur ton PC des sources d'infection: C:\Program Files\EmuleKad C:\Program Files\EuroPoker C:\Program Files\PokerStars.NET Désinstalle tous ces programmes qui sont des nids à virus et sont de plus contraires à la charte du forum.

Salut, Beagle s'installe via des cracks...Merci donc de relire: -la charte du forum: http://forum.zebulon.fr/index.php?act=SR&f=40 -l'article sur les dangers des cracks: http://forum.zebulon.fr/index.php?showtopic=85544 -------------------------------------------------------------------------------------------------------------------------- Je peux te donner un coup de main en sachant que je ne suis pas le meilleur helper de ce forum (litote!). Pour supprimer ce rootkit: - la première chose à faire est de désinstaller/supprimer/nettoyer le logiciel ou le jeu cracké ainsi que le crack, dans le cas contraire le crack réinstalle Bagle en permanence! D'ailleurs Bagle apparaît en démarrage autiomatique dans ton log HijackThis...Peut-être est-ce l'étape que tu as oublié... Fais donc le ménage en désinstallant ce jeu, puis finis le travail à la main en supprimant les fichiers présents dans C:\Program Files. Fais également une recherche avec l'outil XP pour trouver puis supprimer tous les fichiers ayant un rapport avec le jeu... - tu dis que FSBL a fonctionné: c'est à dire?? As-tu renommé les fichiers cachés pour ensuite les supprimer? - Suis la procédure de Malekal : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php et poste ici le rapport ComboFix après avoir scanné ton PC avec ELIBAGLIA, puis patiente qu'un intervenant sécurité te prenne en charge.

Salut. Plutôt que d'utiliser une extension (moins il y en a, mieux Firefox se porte), télécharge BackupFox: http://www.neowin.net/forum/index.php?showtopic=291258 Ce logiciel portable (sans installation) permet de sauvegarder les profils complets (marque-pages, extensions, thèmes, réglages...) de Firefox et de Thunderbird (y compris les mails). Tu peux choisir l'emplacement de la sauvegarde à ta guise. Il les sauvegarde en les compressant au format 7z. Il te suffira d'en faire une sauvegarde, de la mettre à l'abri sur clé usb par exemple, ou en la hostant sur internet, et BackupFox pourra restaurer tous tes réglages en 2 clics en cas de réinstallation du navigateur ou de Windows.

Salut Bleuet Moi non plus! Mais il y a une marge entre les débutants (souvent ceux qui demandent sur ce forum quel est le meilleur pare-feu ou le meilleur AV) et les "pros": aussi je me considère comme un "utilisateur avancé", et je sais d'expérience que le néophyte ne maitrisera pas le firewall Comodo, quand bien même il est moins difficile à comprendre que d'autres (et encore, cela reste à voir!). @Azer: Jetico est réservé aux connaisseurs des protocoles réseaux, il est vraiment difficile d'accès.La nouvelle version le dote de fonctionnalités de contrôles des processus, mais cela n'en fait pas un HIPS à proprement parler. iSafer,je connais que de nom, pare-feu libre qui semble-t-il ne fait pas d'étincelles d'après d'anciennes lectures.

Re, Même remarque avec le nouveau Comodo, qui inclut un pare-feu bidirectionnel et des fonctionnalités HIPS: il faut savoir ce que 'lon fait avec, autrement il devient inutile et pénible. Déconseillé donc aux néophytes.