Gros pb

[Thanos]

salut ivy, Mark,

 

Désolé, encore un autre scan >

 

Télécharge avz4en.zip

• Dézippe le fichier sur ton bureau (ca va creer un dossier nommé avz4en)
  
• Double clique sur AVZ.exe
  
• Sous l'onglêt "Search Range" coche la case "Disque local C"
  
• Sous l'onglêt "Search Parameters" coche la case "Block user-mode Rootkits"
  
• Clique sur le bouton "Start" à droite.
  
• Une fois le scan terminé, le rapport sera affiché dans la case du bas: copie/colle le résultat dans ton prochain message
  

@+ tard

Modifié le 10 décembre 2007 par charles ingals

[ivy]

re-salut

 

bon, mauvaise nouvelle : il y eu un reboot pendant mon absence

j'ai dû sortir trois heures ce matin. j'avais ouvert un .doc en plein page sur le bureau, et laissé le log de combofix, "pour surveiller".

à mon retour, ils n'y étaient plus.

winpatrol me signale également qu'un nouvel élément de démarrage a été détecté : il n'a pas d'icône, pas de description, pas de signature. il s'appelle :

%systemroot%\system32\dumprep 0-k

je l'ai refusé.

 

voici le rapport avz :

 

Attention !!! The database was last updated 17/04/2007 - it is necessary to update the bases using automatic updates (File/Database update)

AVZ Antiviral Toolkit log; AVZ version is 4.25

Scanning started at 10/12/2007 13:16:21

Database loaded: 103395 signatures, 2 NN profile(s), 55 microprograms of healing, signature database released 17.04.2007 15:26

Heuristic microprograms loaded : 369

Digital signatures of system files loaded: 58493

Heuristic analyzer mode: Medium heuristics level

Healing mode: disabled

Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights

1. Searching for rootkits and programs intercepting API functions

1.1 Searching for user-mode API hooks

Analysis: kernel32.dll, export table found in section: .text

Analysis: ntdll.dll, export table found in section: .text

Analysis: user32.dll, export table found in section: .text

Analysis: advapi32.dll, export table found in section: .text

Analysis: ws2_32.dll, export table found in section: .text

Analysis: wininet.dll, export table found in section: .text

Analysis: rasapi32.dll, export table found in section: .text

Analysis: urlmon.dll, export table found in section: .text

Analysis: netapi32.dll, export table found in section: .text

1.2 Searching for kernel-mode API hooks

Driver loaded successfully

SDT found (RVA=082480)

Kernel ntoskrnl.exe found in the memory at the address 804D7000

SDT = 80559480

KiST = 804E26A8 (284)

Function NtConnectPort (1F) intercepted (805894AD->F6BF6E60), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreateFile (25) intercepted (80570D48->F6BF3820), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreateKey (29) intercepted (8056E761->F6BFE690), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreatePort (2E) intercepted (805963A9->F6BF71F0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreateProcess (2F) intercepted (805AD314->F6BFD480), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreateProcessEx (30) intercepted (8058041A->F6BFD6B0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreateSection (32) intercepted (8056441B->F6C00CE0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtCreateThread (35) intercepted (8057B1C5->F8BEC244), hook not defined

Function NtCreateWaitablePort (38) intercepted (8059ED5C->F6BF72D0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtDeleteFile (3E) intercepted (805D3C07->F6BF3EA0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtDeleteKey (3F) intercepted (80590F78->F6BFF6A0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtDeleteValueKey (41) intercepted (8058E9FA->F6BFF2E0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtDuplicateObject (44) intercepted (80573AB6->F6BFD1F0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtLoadKey (62) intercepted (805AACF0->F6BFF9E0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtOpenFile (74) intercepted (80570CE3->F6BF3CF0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtOpenProcess (7A) intercepted (80573C96->F6BFCF40), hook C:\WINDOWS\System32\vsdatant.sys

Function NtOpenThread (80) intercepted (80588974->F6BFCD60), hook C:\WINDOWS\System32\vsdatant.sys

Function NtReplaceKey (C1) intercepted (8064D232->F6BFFCD0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtRequestWaitReplyPort (C8) intercepted (80576EBA->F6BF6B00), hook C:\WINDOWS\System32\vsdatant.sys

Function NtRestoreKey (CC) intercepted (8064BD56->F6BFFF80), hook C:\WINDOWS\System32\vsdatant.sys

Function NtSecureConnectPort (D2) intercepted (805859CA->F6BF7010), hook C:\WINDOWS\System32\vsdatant.sys

Function NtSetInformationFile (E0) intercepted (80577E2C->F6BF4010), hook C:\WINDOWS\System32\vsdatant.sys

Function NtSetValueKey (F7) intercepted (80574C1D->F6BFEE67), hook C:\WINDOWS\System32\vsdatant.sys

Function NtTerminateProcess (101) intercepted (80582C2B->F6BFD8E0), hook C:\WINDOWS\System32\vsdatant.sys

Function NtWriteVirtualMemory (115) intercepted (8057E5E0->F8BEC23A), hook not defined

Functions checked: 284, intercepted: 25, restored: 0

1.3 Checking IDT and SYSENTER

Analysis for CPU 1

Checking IDT and SYSENTER - complete

1.4 Searching for masking processes and drivers

The extended monitoring driver (AVZPM) is not installed, examination is not performed

2. Scanning memory

Number of processes found: 39

Number of modules loaded: 394

Memory checking - complete

3. Scanning disks

4. Checking Winsock Layered Service Provider (SPI/LSP)

LSP settings checked. No errors detected

5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)

6. Searching for opened TCP/UDP ports used by malicious programs

checking disabled by user

7. Heuristic system check

Checking complete

Files scanned: 33018, extracted from archives: 22024, malicious programs found 0

Scanning finished at 10/12/2007 13:44:30

Time of scanning: 00:28:10

If you have a suspicion on presence of viruses or questions on the suspected objects,

you can address http://virusinfo.info conference

 

voilà, si je dois refaire toute la procédure proposée ce matin, à cause du reboot, n'hésitez pas à me dire, pas de souci pour moi

 

merci les amis

[Thanos]

re!

 

bon, mauvaise nouvelle : il y eu un reboot pendant mon absence icon_evil.gif

Ca n'est pas grave ivy

winpatrol me signale également qu'un nouvel élément de démarrage a été détecté : il n'a pas d'icône, pas de description, pas de signature. il s'appelle :

%systemroot%\system32\dumprep 0-k

je l'ai refusé.

L'élément en question n'est pas mauvais Il s'agit d'un rapport d'erreur créé par Windows en cas de plantage logiciel.

 

Ok voici la suite >

 

1) Stp rend toi sur cette page afin de télécharger le fichier kill.bat > http://www.sendspace.com/file/3tj8v4

pour cela, clique sur le lien en bas de page > Download Link: kill.bat

Enregistre le fichier sur ton bureau.

 

Double clique sur le fichier: deux rapports vont se créer >

 

C:\Log.txt et C:\Qoobox\ComboFix-quarantined-files.txt > poste les deux stp

 

EDIT: ivy, tu parlais dans un autre topic d'un profil utilisateur nommé UfhIZkkIghDD sur ton pc : qu'en est il ? l'as tu éliminé ? le vois tu encore ? (n'y touche pas pour le moment).

Autre chose: est ce toi qui a créé ce profil ? > Administrateur

Modifié le 11 décembre 2007 par charles ingals

[ivy]

salut les amis

 

contente de vous retrouver

désolée de ne pas avoir donné de signes de vie plus tôt. il y a eu un petit "souci", comme vous vous en doutez...

 

voilà : je n'avais pas vu le dernier message de charles, et j'étais obsédée par ce redémarrage qui n'aurait pas dû avoir lieu. j'ai voulu refaire la procédure pour que ça soit propre. j'ai lancé, et j'ai quitté l'ordi pour le laisser scanner tranquille. et j'ai donné un coup de pied dans le bouton de reboot en me levant...

 

je n'ai pas réussi à le remettre d'équerre. je pense qu'il ne manquait pas grand chose, mais mon C: n'était pas reconnu, pas réussi à réinstaller non plus, ni même à formater. dans le bios, même histoire, et je n'avais plus accès à internet pour vous appeler (encore ) à l'aide.

 

voilà. mes potes se sont mobilisés pour m'acheter ->ça

 

si vous voulez, j'envoie le DD infesté à qui vous me dites, à fin d'analyses. je n'en ai plus besoin, je ne cherche pas à le récupérer. mais comme on n'a pas fini la procédure, si vous voulez faire des expériences dessus, pas de souci. je peux aussi le remettre en main propre à paris.

 

en tout cas, je remercie :

- zébulon, pour son super site et son super forum, qui m'ont appris plein de trucs passionnants

- tous les gens qui sont intervenus dans ce sujet, pour m'aider d'une manière ou d'une autre

- Qc, qui était toujours là au bon moment pour me rassurer

- l'irremplaçable m@rk, qui me fait grave flipper grave dès que je lis un de ses textes, mais c'est pour mon bien, hihi

- et évidemment, un IMMENSE MERCI au plus grand, au plus beau, au plus fort : j'ai nommé charles, bien sûr, pour son aide inestimable et son accompagnement de tous les instants

 

merci tous les amis, sincèrement. j'ai rarement (jamais !) vu autant de compétence et d'efficacité réunies sur un site/forum qui, pour ne rien gâcher, sont très sympa. et j'ai appris un truc fondamental, c'est que quelle que soit la situation, il reste de l'espoir.

grâce à vous :P

[Thanos]

salut ivy

 

Te voilà donc avec un pc tout neuf

Fais ce qu'il faut pour le conserver propre et à l'abri des menaces!

 

En arrivant sur le forum, tu avais Avast en antivirus: je te conseille de lire ce comparatif très intéressant de Malekal Morte afin de te faire une idée quant à l'efficacité de cet antivirus > http://forum.malekal.com/ftopic3528.php

C'est une étude indépendante et sérieuse! Je ne saurais que te conseiller d'oublier Avast et d'installer Antivir afin de protéger ton pc au mieux. Il faut aussi installer un parefeu car celui de Windows n'est pas efficace! >

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

En plus de ceci, voici des conseils de prudence élémentaires pour éviter l'infection >

- Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- scan hebdomadaire antispyware.

Consulte ce très bon lien pour comprendre > http://www.malekal.com/securiser_ordinateur.html

au plus grand, au plus beau, au plus fort : j'ai nommé charles, bien sûr, pour son aide inestimable et son accompagnement de tous les instants love1.gif love1.gif love1.gif

:P merki

 

Un grand grand merci à QC001 pour sa gentillesse et son aide toujours aussi précieuse :P et un merci @ sUBs aussi

 

Bon, ivy, j'espère ne pas te revoir sur cette partie du forum!! sauf si c'est pas pour toi

 

Bon surf @ toi