Help me again! [Resolu]

Thanos · le 23 octobre 2006

salut

Est ce que ce problème arrive avec les deux navigateurs?(IE et Firefox)

Est ce que tu peux me dire quel processus utilise le plus de mémoire lorsque le pc commence à ramer? (en faisant CTRL/ALT/SUPP pour ouvrir le gestionnaire des tâches => onglet processus)

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

@ toute à l'heure

Nevo · le 23 octobre 2006

ben le probleme de navigation est encore pire avec IE mais effectivement ca se produit avec les deux, etonament a l'heure ou j'envoie ce poste je n'ai pas eu encore les problmes que je decrit plus haut depuis que j'ai allumé mon pc mais ca va p'tete pas tardé!

concerant le gestionaire des taches je l'utilise toujours pour essayer de traquer ce qui cloche, et la premiere fois c'etait free download manager qui engloutissait litteralement 99 % de mon UC alors qu'il n'y a pas de quoi mobilisé toute la ressource de mon processuer, depuis le debut de la procedure jusqu'a maintenant ca l'air d'etre réglé, mais le truc c'est que quand j'ai un bloquages et que j'essaye de consulter le gestionaire des taches je n'y arrive pas la fenetre de ce dernier ne s'affiche pas, meme si j'appuie plusieurs fois sur CTRL/ALT/SUPP, ce n'est que 5 minutes apres l'avoir activé qu'elle daigne se montrer et la rien de suspect n'apparait sur la liste, mais le graphe de l'UC indique que l'utilisation a atteint 100% pendant un moment!

bon sinon hier en ouvrant firefox juste apres un fort ralentisment, avast a bloqué une tentative d'exploit de la part de "Lsass" je crois, je ne sais pas de quoi il s'agit est ce un trojan ? ca ne m'est arrivé que 2 fois jusqu'a maintenant, je crois qu'il serait judicieux de se pencher la dessus, Lsass?

le contenu de black ligth :

10/23/06 15:43:31 [info]: BlackLight Engine 1.0.47 initialized

10/23/06 15:43:31 [info]: OS: 5.1 build 2600 (Service Pack 2)

10/23/06 15:43:31 [Note]: 7019 4

10/23/06 15:43:31 [Note]: 7005 0

10/23/06 15:43:56 [Note]: 7006 0

10/23/06 15:43:57 [Note]: 7011 1048

10/23/06 15:43:57 [Note]: 7026 0

10/23/06 15:44:13 [Note]: FSRAW library version 1.7.1020

10/23/06 16:06:16 [Note]: 2000 1012

voila!

Nevo · le 23 octobre 2006

je rectifie les soucis sont toujours la , au fait ca pourrait pas venir de mon modem ADSL?

Nevo · le 23 octobre 2006

je me suis encore fai attaqué par "Lsass" 2 fois de plus , avast signale avoir bloquée la tentative d'exploit , il a meme indiqué une ip !

Thanos · le 23 octobre 2006

salut Nevo

Commence par installer un vrai parefeu , pas celui du sp2 car il n'est pas efficace du tout!!!

Ne fais pas l'impasse sur le parefeu!! c'est vraiment très important!

Voila quelques liens pour des pare-feux gratuits

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/jetico.php

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

Je te conseille Kerio en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Le ralentissement occasionné par un pare-feu est minime lorsque celui-ci est bien configuré, et il est garant de ta tranquilité .

Par défaut, interdit à tout programme de se connecter au net(mis à part à l'antivirus / parefeu , logiciel de sécurité) ou configure le parefeu pour qu'ils en fassent la demande : inspire toi des tutoriaux pour ce faire.(paragraphe"Permettre/Empécher à une application d'accéder à internet" du tutoriel de Malekal)

Est ce que tu connais ce programme ? => 1500Trb

Reposte stp un rapport hijackthis en renommant préalablement hijackthis.exe en nevo.exe

Je me renseigne sur certaines applications, et je repasse

Modifié le 23 octobre 2006 par charles ingals

Nevo · le 23 octobre 2006

Merci c'est vrai que c'est essentiel! bon j'ai instalé Jetico et il semble vraiment bien marché surtout avec mon reseau local je fini de le configurer!

1500Trb non je ne connais abloment pas ce programe , d'ailleurs j'ai fai une recherche sur le disque dur je n'ai aucun fichier nomé "1500Trb" !

j'ai renomé l'executable hijackthis en Nevo, c'est ca non? (ca sert a quelque chose ca )

voila le rapport hijackthis renomé en nevo:

Logfile of HijackThis v1.99.1

Scan saved at 22:09:41, on 23/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Steganos Internet Anonym Pro 7\SIAPRO7.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\HP_Propriétaire\Mes documents\outils de desinfection\hijackthis\nevo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll

O3 - Toolbar: (no name) - {31D1CA78-F919-4198-8DA5-AB6F44E4AB28} - (no file)

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\PROGRA~1\TEXTAL~1\TAForIE.dll

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\program files\steganos internet anonym pro 7\siapro7iep.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [sIAPRO7] "C:\Program Files\Steganos Internet Anonym Pro 7\SIAPRO7.exe" -boot

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8DC76C5-0674-4224-B7E4-239AF0DAE1DA}: NameServer = 85.255.115.4 85.255.112.15

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Nevo · le 23 octobre 2006

.

Modifié le 23 octobre 2006 par Nevo

Thanos · le 24 octobre 2006

re!

Question :: tu as bien éliminé Internet download manager? il y a des restes à éliminer et mauvaise nouvelle : cette saleté de ligne 017 est revenu, il faut s'en débarrasser à tout prix!

Concernant ces programmes que tu ne connais pas, vire les depuis Ajout/Suppression de progammes =>

1500

1500_Help

1500Trb

*Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)

O3 - Toolbar: (no name) - {31D1CA78-F919-4198-8DA5-AB6F44E4AB28} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8DC76C5-0674-4224-B7E4-239AF0DAE1DA}: NameServer = 85.255.115.4 85.255.112.15

-Ferme tous les programmes,déconnecte toi du net et clique sur "Fix Checked".

Passe par Démarrer \ Connexions\ Afficher toutes les connexions.
Dans la fenêtre qui s'ouvre, repère ta connexion active , clique avec le bouton droit de ta souris sur son icône et choisis "Propriétés"
Dans la fenêtre qui vient de s'ouvrir , sous le champs "Cette connexion utilise les éléments suivants"
sélectionne "Protocole Internet( TCP/IP)" et clique sur le bouton "Propriétés".
La fenêtre qui vient de s'ouvrir est divisée en deux parties: dans la seconde partie, coche le bouton suivant: Obtenir les adresses des Serveurs DNS automatiquement .Clique sur "OK" deux fois pour valider.Quitte les Connexions réseaux.

Note: je ne connais pas le nom de ton FAI, mais tu peux si tu veux mettre les adresses de DNS au lieu de cocher le bouton : Obtenir les adresses des Serveurs DNS automatiquement. Pour connaitre les adresses des serveurs => http://www.zonehd.net/dossier/les-dns-des-fai-haut-debit/

Après ca, il va falloir utiliser LspFix pour virer le restant de Internet Download Manager =>

-Lance LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

Coche la case "I know what I'm doing" ("Je sais ce que je fais").

Sélectionne toutes les instances de la dll suivante :idmmbc.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

Clique sur le bouton "Finish". Redémarre le pc et poste stp un nouveau rapport hijackthis.

Tu as bien fait de prendre jettico tu ne devrait plus recevoir d'alertes d'Avast normalement !

Nevo · le 24 octobre 2006

_oui j'ai bien eliminé internet download manager !

_je ne trouve nul part les programes dont tu m'as parlé sur ajout/supression de programes!

_procedure Hijackthis accompli !

_procedure DNS accompli !

_procedure LSPfix accompli ! (je n'ai trouvé qu'une seule instance pour la dll idmmbc.dll)

alors serait ce possible d'avoir un tuto plus actuel pour jecido (qui me semble vraiment bien jusqu'a maintenant) car le tuto de Odsen est un peu inaproprié a la version que je possede.

il ya quelques tentative de conection entrante qui me semble douteuse comme par exemple un truc qui s'appele systeme, c'est une conection entrante qui n'a pas un rapport avec un EXE present sur mon disque dur, comme si ca exploitait une faille, je suis pas expert mais c'est douteux, de plus depuis que j'ai installé jecido et que je bloque tout ce qui me parait douteux , ma conection semble plus saine mais bon juste une petite remarque en passant!

voila enfin le rapport hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 01:44:01, on 24/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\HPZipm12.exe