infection malware

[MGM]

Salut,

 

Voila j'ai enfin fais le scan avec Panda et j'ai 2 virus detecte et netoye..

 

Je ne comprend pas j'en ai tout le temps.. pourtant j'ai un antivirus actif, 2 parefeu, bref..le bordel..

 

Bien qu'en regqrdant de pres cce n'est peut etre pas des virus qu'il a detecte mais les programmes de desinfections que j'avais installe..

 

 

Incident Status Location

 

Potentially unwanted tool:application/funweb Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}

Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\Michel Gusting\Bureau\Infections\clean\clean\pskill.exe

Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\Michel Gusting\Bureau\Infections\clean.zip[clean/pskill.exe]

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Michel Gusting\Bureau\Infections\SmitfraudFix\SmitfraudFix\Process.exe

Virus:Trj/Shutdown.Z Disinfected C:\Documents and Settings\Michel Gusting\Bureau\Infections\SmitfraudFix\SmitfraudFix\restart.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Michel Gusting\Bureau\Infections\SmitfraudFix.zip[smitfraudFix/Process.exe]

Virus:Trj/Shutdown.Z Disinfected C:\Documents and Settings\Michel Gusting\Bureau\Infections\SmitfraudFix.zip[smitfraudFix/restart.exe]

Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Michel Gusting\Cookies\michel gusting@ad.yieldmanager[1].txt

Spyware:Cookie/PointRoll Not disinfected C:\Documents and Settings\Michel Gusting\Cookies\michel gusting@ads.pointroll[2].txt

Spyware:Cookie/Atwola Not disinfected C:\Documents and Settings\Michel Gusting\Cookies\michel gusting@atwola[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Michel Gusting\Cookies\michel gusting@uol.com[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Michel Gusting\Cookies\michel gusting@xiti[1].txt

Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

 

 

A+++

[Gof]

Bonjour MGM,

 

pourtant j'ai un antivirus actif, 2 parefeu

Comment ça 2 pare-feux ? Jetico et lequel ?

 

En effet, les détections viennent des outils Clean et Smitfraudfix. Tu peux supprimer les dossiers associés, les fichiers compressés, ainsi que le fichier suivant lié à smitfraudfix "C:\WINDOWS\system32\Process.exe."

 

Potentially unwanted tool:application/funweb Not disinfected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}

Poste un log hijackthis voir si cette entrée apparait en activeX. Auquel cas je te la ferais corriger, sinon, on le fera manuellement.

[MGM]

J'ai celui de windows et le ZoneAlarm

 

Ou je trouve les dossiers associes et fichiers compresse..?

 

Logfile of HijackThis v1.99.1

Scan saved at 11:36:41, on 03/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\en-us\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\en-us\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [pccguide.exe] "D:\Programmes\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programmes\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmes\Pop3trap.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Monitor de conexión del teléfono.lnk.disabled

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121095280696

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1176309662250

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo.fr/acti...sCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

j'ai elimine le process.exe.

 

A+++

[Gof]

Re MGM

 

Les chemins des outils sont les suivants :

 

Sur ton bureau, dans le répertoire Infections :

• le dossier clean et le fichier clean.zip.
  le dossier SmitfraudFix et le fichier SmitfraudFix.zip.
  

- Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]

• Enregistre ce fichier dans : Bureau
  
• Nom du fichier : remove.reg
  
• Type : tous les fichiers
  
• cliquer sur Enregistrer
  
• quitter le Bloc Notes.
  

Sur le bureau tu dois avoir ce remove avec en icône le petit cube registre. Clique sur le fichier remove.reg pour qu'il s'exécute. Un message te demandera la fusion,accepte. Elimine le fichier reg.

 

Ton log hijackthis ne révèle rien d'inquiétant. Je t'invite à consulter cette page où j'ai centralisé des liens de logiciels gratuits, de tutos, et autres pour accroître et/ou sécuriser d'avantage ton pc.

[MGM]

Ok c'est fait ,

 

Merci de toute l'aide.. j'espere ne pas devoir revenir rapidement..lol

 

A+++

[MGM]

Je suis alle sur la page recommande pour acroitre ma securite et d'abord j'ai fait un test de mes port etc.. et voila la reponse:

 

 

En gros je ne suis pas protege.. il me recommande d'intsller un firewall quand j'ai deja celui de Zonealarm et celui de windows??

 

 

Check for vulnerabilities of your computer system to remote attacks

We have scanned your system for open ports and for ports visible to others on the Internet. As a rule an open port means your computer is vulnerable to attacks by crackers. They gain access to your computer and its files through these open ports.

 

Warning!

The test found visible port(s) on your system: 21, 23, 80, 135, 137, 138, 139, 1080, 3128

 

 

Recommendation:

Install personal firewall software. PC Flank recommends Outpost Firewall Pro.

 

If you have already installed and are using a firewall, check if it is set to make all the ports of your computer invisible (hidden). If it is, then get new firewall software and redo this test.

 

 

 

 

Trojan horse check

The test scanned your system to find signs of a Trojan. If a Trojan horse is on your computer a cracker can access your system's files and your personal data.

 

Warning!

The test found visible ports on your system: 27374, 12345, 1243, 31337, 12348.

The following Trojans use these ports: SubSeven, NetBus, SubSeven, Back Orifice, BioNet

Although these ports are visible, they are not open, so your system is not infected. However, having visible ports on your system means your computer can be "seen" over the Internet. This makes it very easy for skillful intruders to explore your system.

 

 

Recommendation:

Install personal firewall software and use an anti-Trojan program. Anti-trojans to consider are: The Cleaner, PestPatrol or Tauscan.

 

Merci

[Gof]

Bonsoir MGM,

 

Rappelle moi quel est le type de connexion dont tu disposes et si tu es bien derrière une box quelconque ? (alicebox, neufbox, livebox, etc).

 

Je pense que tu es dans ce cas de figure : Ports ouverts sans raison : et si cela venait de votre routeur ou Box

 

Si un test en ligne vous avertit donc qu'un port est ouvert sur votre machine, il est inutile de chercher à le fermer via un firewall logiciel, ou en désactivant certains services ou logiciels sur votre ordinateur même car c'est le routeur, et uniquement lui, qui a répondu au test en ligne.

 

Il faut donc se rendre sur l'interface du routeur (la plupart du temps il suffit de rentrer son adresse IP locale dans votre navigateur) et de désactiver les services ouvrant des ports particuliers ou envoyant des réponses aux ordinateurs distants.

Odsen.

 

Je t'invite à lire et parcourir le sujet.

[MGM]

Re,

 

Ok la ca se complique..lol

(j'ai lu le sujet que tu m'as dis)

 

Routeur c'est donc la boite noir que j'ai la enbas.

 

Bon je suis connecte a un FAI Mexicain, son nom est CABLEVISION et mon routeur est : MOTOROLA SURFBoard SBG900i

 

J'ai une connexion internet wifi sur une laptop..

 

Ok pour mon IP mais j'ai essayer de le mettre sur mon navigateur et rien, ca n'existe pas.. et comment je saurais quel port fermer?

 

 

Une fois je me suis plein de la lenteur de ma connexion avec mon FAI, ils m'ont fait tester un truc (je ne me rapelle pas comment), c'etait une fenetre noir ou ils ont fait des bip je crois et bref j'avais pleins de truc qui essayaint de se connecter a internet et ils m'avaient dit de les fermer, je n'ai jamais su comment..donc je navigue lentement: ma vitesse devrait etre 1500 kbps et j'ai apeine 900 kbps quand tu vas bien

 

Les fournissuers ici sont assez inutile et ils m'ont pas aider..

 

Merci

 

A+++

[MGM]

Je peut installer le Zebprotect?..je vais attendre les conseils...

 

A+++

[Gof]

Bonsoir MGM

 

Bon je suis connecte a un FAI Mexicain, son nom est CABLEVISION et mon routeur est : MOTOROLA SURFBoard SBG900i

 

J'ai une connexion internet wifi sur une laptop..

La difficulté va être de trouver un tuto de configuration de ce type de routeur. Je vais voir et demander, je te tiens au courant.

 

Pour ce qui est de ZebProtect, oui pas de soucis, tu peux l'exécuter (il ne s'installe pas), et fermer quelques ports sensibles.