Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Problème avec Trojan.FatObfus.2.Gen

nono13

Par nono13
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Salut nono13,

 

Et est ce que Kasper en plus de ses protections puissantes peux etre encore renforcer si je reinstalle Terminor ?
Non, il est désormais inutile si tu as installé KIS7.

 

Peux-tu me copier/coller la ligne qui apparait dans "Rapports" et "Détectés"? (ou dans quarantaine/sauvegardes).

 

 

apu-4-43nseieyv12xybu8nntax3zn.jpg

 

@+

EDIT: Kaspersky peut détecter un outil comme Lop S&D comme "malware"; il n'en est rien bien entendu.

 

Idem pour SmitfraudFix mais il est inutile de garder ces outils vu qu'ils sont en perpétuelle évolution, donc tu peux les virer une fois une désinfection terminée.

Quand tu les installes, il suffit de répondre à Kaspersky que tu fais confiance à ces outils et il se taira la fois suivante :P

Modifié par Apollo.01

nono13 Member

nono13

Posté(e)
  • Auteur
Posté(e) (modifié)

Alors en faite depuis il y a des lignes qui sesont rajoutées lol

Ca se situe dans DETECTES

 

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\System32\svchost.exe

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\winlogon.exe

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\Explorer.EXE

découvert : application présentant un risque potentiel Invader Le processus: C:\Program Files\Microsoft IntelliType Pro\type32.exe (CA C'EST QUAND JE ME SERS DE MES RACCOURCIS CLAVIER)

découvert : application présentant un risque potentiel Invader Le processus: C:\Documents and Settings\ONI\Mes documents\y's\YzDock.exe (TU DOIS SAVOIR CE QUE C'EST... LA PETITE BARRE LES RACCOURCIS ICONE COMME SUR MAC)

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\wscntfy.exe

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\control.exe

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\svchost.exe

 

Et dans journal y a ca qui me derange... :P

 

23/10/2007 21:18:59 24/10/2007 11:47:13 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 221.6.7.89. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 11:47:13

Une tentative du processus avec le PID 2008 obtention de l'accès au processus Kaspersky Internet Security avec le PID 372 a été bloquée. Cela est le résultat de l'auto-défense.

 

23/10/2007 22:30:12 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 10.13.3.61. Protocole/service: UDP sur le port local 1434. Heure: 23/10/2007 22:30:12

 

24/10/2007 02:03:19 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 218.106.91.25. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 02:03:19

 

24/10/2007 03:32:08 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 61.134.56.18. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 03:32:08

24/10/2007 04:18:28 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 218.232.95.60. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 04:18:28

 

24/10/2007 07:37:21 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 61.178.176.152. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 07:37:21

 

et pour finir

 

24/10/2007 08:11:28 Une tentative du processus avec le PID 2008 obtention de l'accès au processus Kaspersky Internet Security avec le PID 1840 a été bloquée. Cela est le résultat de l'auto-défense.

 

24/10/2007 11:42:29 Une tentative du processus avec le PID 2020 obtention de l'accès au processus Kaspersky Internet Security avec le PID 296 a été bloquée. Cela est le résultat de l'auto-défense.

 

et celle la qui m'inquiète encore plus...

 

24/10/2007 11:47:13 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 221.6.7.89. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 11:47:13

Modifié par nono13
Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Bonjour nono13 :P

 

Comme tu viens d'installer Kaspersky IS, ce phénomène est normal au début.

 

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\System32\svchost.exe

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\winlogon.exe

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\Explorer.EXE

Quand la fenêtre de KIS s'ouvre pour te demander une autorisation pour ces appli que tu connais bien, tu dois autoriser et cela ne se représentera plus. (sauf modification par mise à jour par exemple)

 

Quant à ceci:

23/10/2007 21:18:59 24/10/2007 11:47:13 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 221.6.7.89. Protocole/service: UDP sur le port local 1434. Heure: 24/10/2007 11:47:13
et les autres du même genre que tu inscris, ce sont des attaques de réseau; c'est là que tu vois l'utilité du firewall. ces attaques sont BLOQUEES.

 

Décoche la case "Riskwares" dans configuration.

 

Pour ce qui est des alertes d'attaques, tu vas aller dans Configuration/apparence/configuration:

 

Décoche les cases suivantes:

-Découverte d'attaques de réseau

-Messages d'autodéfense.

-Découverte d'une archive protégée. -> Ok/Appliquer/ok

 

Le firewall fera son travail mais sans te déranger avec ces fenêtres d'alertes assez gênantes quand on travaille sur le pc.

 

Pour ce qui est des analyses: va dans Configuration/analyse/poste de travail/configuration.

 

Coche ces cases:

 

- Analyser tous les fichiers.

- Analyser uniquement les nouveaux fichiers et les fichiers modifiés

 

Mode d'exécution: 1 fois par semaine; choisis le jour et l'heure de l'analyse.

 

Fais la même chose avec Recherche de Rootkits mais un autre jour et choisis l'heure.

 

Secteurs critiques: définis l'heure d'analyse en dehors des heures d'analyse du poste de travail et de recherche de Rootkits (par exemple: 18H00)

 

Analyse des objets de démarrage: Au démarrage/modifier et mets 5 minutes à la place de 2.

 

Configuration parefeu: vérifie que le curseur soit sur la position: protection minimale.

 

Configuration mises à jour: Toutes les heures.

 

Voilà @+ :P

Modifié par Apollo.01
nono13 Member

nono13

Posté(e)
  • Auteur
Posté(e)

Ca y est configurer comme tu m'as dis.. :P

 

Franchement je commence a etre gené a force de te demander de l'aide ma Là !!! j'ai putain de probleme (excuse moi pour le compliment mais ca fait plus de 4 h que je ne m'en sors plus donc j'ai un peu la haine) avec firefox et iexplorer....

 

* Ce don je t'ai parlé hier recommence.... les 2 sont impossible a lancé (y mettent sans exagérer 10 minute avant d'arriver a la page d'accueil et toujours aussi longtemps pour le reste des onglets a charger) c'est arrivé d'un coup dans l'apres midi je surfais sur des sites "propres" ca marchais impeccable et d'un coup ffox et partit en live impossible d'ouvrir ce topic (y s'y mis a charger la page sans quelle ne vienne et idem pour les onglets deja chargés l'actualisation je l'a lancé mais elle ne se faisait pas...)

 

Msn impossible de me connecté alors que hier ca marché impecc. la y me sort la fameuse erreur "passerelle par defaut"

 

Pour msn ca m'est arrivé ce matin (ffox et ie marche eux par contre tres bien a ce moment là) parce que dans Kasper au niveau de la defense Proactive j'avais coché (car il était désactivés avec la config d'origine) controle de l'intégrité des applic. et surveillance de la base de registre systeme..

Je les ai alors décocher et tout est rentré dans l'ordre pour msn...

 

Comme tout était redevenu impecc depuis cet incident ce matin avec msn j'ai surfé comme d'hab en debut d'aprem (sur des sites propres je précise ) ET sans avoir rien retouché après il me soit arrivé ce que je t'ai expliqué là *

 

Please help me c'est de la folie... je reste sur la page pour ne pas avoir a attendre 5h qu'elle se recharge en relancant ffox mais je vais manger...

 

:P

Apollo Devil Member !

Apollo

Posté(e)
Posté(e) (modifié)

Quelle est ta version de Firefox?

 

Voir s'il est à jour.

 

Si tu es en version 1.5.xx, désinstalle et passe à la 2.0.0.8

 

http://www.mozilla-europe.org/fr/

 

Il y a des extensions Firefox qui ralentissent assez bien le téléchargement des pages; avec KIS7, tu n'as nul besoin de Ad Block etc.

 

Vois ça; je vais manger aussi :P

@+

Modifié par Apollo.01
nono13 Member

nono13

Posté(e)
  • Auteur
Posté(e)

Oh c'est de la folie maintenant ca marche bien... :P

 

Ecoute te prends pas la tete je vais voir d'ici demain si ca recommence...

 

en tout cas merci pour les précieux conseils que tu m'as donné jusqu'ici :P

 

Bonne soiré...

 

:P

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)
parce que dans Kasper au niveau de la defense Proactive j'avais coché (car il était désactivés avec la config d'origine) controle de l'intégrité des applic. et surveillance de la base de registre systeme..

Je les ai alors décocher et tout est rentré dans l'ordre pour msn...

Attention! Il faut un minimum quand-même! Comme ceci:

 

apu-4-u2uelfigsrf5568fccdm9ukf.jpg

 

Prends ces outils parmi tous ceux proposés plus haut dans les recommandations. Sers-toi d'ATF Cleaner tous les soirs et JV16 une fois par semaine.

 

=> ATF Cleaner de Atribune :

- Téléchargement : http://www.atribune.org/ccount/click.php?id=1

- Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html

 

=> JV16 :

- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

- Tutorial par Tesgaz : http://www.zebulon.fr/articles/base-de-registre-3.php

 

Cela te permettra te nettoyer beaucoup de choses inutiles et lourdes à la longue.

 

Rien que CCleaner par exemple me nettoie + de 20 Mo d'inutiles chaque jour!(Temp,Historiques, cookies etc.)

 

Tu peux aussi prendre Free Ram XpLite: http://www.pcastuces.com/logitheque/freeramxp.htm ; ne demande aucune installation spéciale. Cela te libérera de l'espace mémoire en permanence tant que tu le laisses ouvert dans la barre des tâches. (clic Go puis à la fin: go to tray.)

 

@+

nono13 Member

nono13

Posté(e)
  • Auteur
Posté(e)

Oui t'inquiètes pas j'ai juste redécoché "controle de l'intégrité des applic. et surveillance de la base de registre systeme.."

 

Et laissé le reste comme sur ta screen :P

 

Vais testé tes noyaux tuyaux

 

@+

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

re nono13

 

tes noyaux tuyaux
Ah? dans les tuyaux, je ne savais pas qu'il y en avait :P

 

Tu peux aussi essayer Opera hein, on l'oublie trop souvent celui-là; c'est pourtant un excellent navigateur!

 

http://www.opera.com/download/

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...