[résolu] Spybot et rapport HijackThis

[oGu]

- OK pour le "renommage" Hijackthis.

 

 

- Il reste un service de la Google Toolbar: pour le supprimer:

• Dans Démarrer > Exécuter et taper Services.msc puis OK
  
• Choisir le mode "Etendu" (onglets inférieurs)
  
• Grâce à la barre de défilement (à droite) rechercher le service suivant:
   
  Google Updater Service (gusvc)
  

• Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
  
• Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
  
• Dérouler le Type de Démarrage pour le modifier en Désactivé
  
• Cliquer sur Appliquer puis OK
  

• Lancer Hijackthis, choisir Open the Misc.Tools section
  
• La fenêtre "Configuration" va s'ouvrir
  
• Cliquer sur Delete a NT service...
  
• La fenêtre "Delete a Windows NT service" va s'ouvrir
  
• Saisir dans la zone de dialogue :
   
  Google Updater Service
   
   
  Note : s'assurer de ne mettre d'espace, ni avant, ni après !
  cliquer OK
   
  Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez redémarrer.
  Cliquer NO
  

---------------------------------------------------------------------------------------------------------------------------

 

 

 

- Tes DNS sont bien ceux de OpenDNS: ils sont très bons, mais il faudrait savoir POURQUOI internet est configuré sur ces DNS et pas sur ceux d'Orange...Si tu le souhaites .on peut remettre ceux d'Orange (je tourne moi-même avec bonheur avec ceux d'openDNS)

 

 

Tu es par ailleurs effectivement infecté par Zlob: ce dernier reconfigure bien les DNS pour détourner les recherches, il le fait sur des adresses biaisées contenant 85.255.

 

Pour supprimer Zlob (qui est un virus se cachant avec des techiques de rootkit et s'installant via un faux codec dispo sur des sites classés entre W et Y):

 

- Relance Hijackthis, sélectionne "do a scan only" et coche:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{F61274BE-1AE9-4A08-B5C1-63F71146DB01}: NameServer = 85.255.115.100,85.255.112.133

 

Puis clique sur "fix checked" et redémarre.

 

-Télécharge FixWareOut:

 

http://downloads.subratam.org/Fixwareout.exe

• clique sur "next"
  
• clique ensuite sur "install"
  
• active "run fixit"
  
• clique enfin sur "finish"
  
• Une fenêtre noire s'ouvre appuis sur une touche afin de démarrer le scan.
  
• clique ensuite sur "ok" pour toutes les pop-ups qui s'ouvriront
  

Le système va redémarrer et créer un rapport ici:

 

C:\fixwareout\report.txt

 

Colle-le ici-même dans ton message.

• 
  

Modifié le 16 janvier 2008 par ogu

[tyranosaure]

Bonsoir,

 

Voila, j'ai tout fait et le rapport est la!

 

Colle-le ici-même dans ton message.

• Username "Candy Raton" - 12/01/2008 22:14:44 [Fixwareout edited 9/01/2007]
   
  ~~~~~ Prerun check
   
  HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F61274BE-1AE9-4A08-B5C1-63F71146DB01}
  "DhcpNameServer"="85.255.115.100,85.255.112.133" <Value cleared.
   
  Cache de résolution DNS vidé.
   
   
  System was rebooted successfully.
   
  ~~~~~ Postrun check
  HKLM\SOFTWARE\~\Winlogon\ "System"=""
  ....
  ....
  ~~~~~ Misc files.
  ....
  ~~~~~ Checking for older varients.
  ....
   
  ~~~~~ Current runs (hklm hkcu "run" Keys Only)
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
  "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
  "HP Software Update"="C:\\Program Files\\Hp\\HP Software Update\\HPWuSchd2.exe"
  "SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
  "QPService"="\"C:\\Program Files\\HP\\QuickPlay\\QPService.exe\""
  "eabconfg.cpl"="C:\\Program Files\\HPQ\\Quick Launch Buttons\\EabServr.exe /Start"
  "Cpqset"="C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe"
  "RecGuard"="C:\\Windows\\SMINST\\RecGuard.exe"
  "hpWirelessAssistant"="C:\\Program Files\\hpq\\HP Wireless Assistant\\HP Wireless Assistant.exe"
  "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
  "TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
  "AVP"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
   
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
  ....
  Hosts file was reset, If you use a custom hosts file please replace it...
  ~~~~~ End report ~~~~~
  

 

J'ai eu quelques problemes au moment de la suppression de Google Update Service mais on dirait qu'il est parti

Pour ce qui est du comportement de mon ordi, je dois preciser que la defense proactive de Kaspersky m'obligeait a cliquer 4 fois sur ignorer depuis quelques temps au moment ou je lancais une application parce que le processus explorer.exe essayait de s'introduire dans un autre. J'ai du le rajouter a la zone de confiance pour avoir la paix mais ceci est peut etre une autre histoire...

 

Merci de me dire si tout va bien.

[oGu]

Bonsoir,

 

Le rapport FixWareOut indique que le détournement de tes DNS a été supprimé.On contrôlera tout ça avec HijackThis.

 

Quant aux adresses OpenDNS, il semblerait qu'elles aient été installées par un outil de désinfection (merci à Falkra de m'avoir mis sur la piste): avais-tu essayé de désinfecter ton système tout seul? Si oui, avec quel outil??

 

J'ai eu quelques problemes au moment de la suppression de Google Update Service mais on dirait qu'il est parti

 

Poste un nouveau log HijackThis que l'on vérifie.

 

Pour ce qui est du comportement de mon ordi, je dois preciser que la defense proactive de Kaspersky m'obligeait a cliquer 4 fois sur ignorer depuis quelques temps au moment ou je lancais une application parce que le processus explorer.exe essayait de s'introduire dans un autre. J'ai du le rajouter a la zone de confiance pour avoir la paix mais ceci est peut etre une autre histoire...

 

Pourrais-tu m'en dire plus? Dans quel processus explorer.exe s"introduisait"-il ??

 

En plus du log Hiajckthis:

 

Télécharge BlackLight de F-Secure sur ton bureau:

 

ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe

Accepte la licence, puis clique sur "scan"; l'outil va créer un rapport, poste-le ici même (il se trouvera sur ton bureau).

[tyranosaure]

Merci pour cette aide suivie!

 

Je n'ai pas essayer de desinfecter mon ordi. Je fais juste regulierement un coup de spybot et une analyse du poste de travail avec Kaspersky. Je demande la "reparation" des eventuels problemes et c'est tout. Ah j'oubliais, un peu de CCleaner aussi de temps en temps.

 

Pour ce qui est de la defense Proactive de Kaspersky, j'ai remis les reglage (enlever exploere.exe de la zone de confiance) d'avant et ca semble aller normalement. Je n'ai pas tout releve mais Kaspersky signalait un comportement "invader" avec des n° de PID auxquels je comprends rien.

Le seul probleme restant c'est que le centre de securite Windows ne voit pas que kaspersky est actif!

 

Je viens de faire un coup de spybot et tout est clean!

 

Je mets ici le dernier rapport HijackThis en date :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:54:31, on 12/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HP\QuickPlay\QPService.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\hpq\Shared\HPQTOA~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\scan.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .csm: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .csml: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cub: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .cube: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .dx: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .emb: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .embl: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .gau: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .jdx: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mol: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .mop: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .pdb: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .rxn: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .scr: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .skc: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .spt: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .tgf: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O12 - Plugin for .xyz: C:\Program Files\Internet Explorer\Plugins\npchime.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{105B08C4-9FE7-4AFF-86AD-9C865C63B999}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3E4F07-861C-46A4-B836-072D9A1F06CA}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\..\{105B08C4-9FE7-4AFF-86AD-9C865C63B999}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\..\{105B08C4-9FE7-4AFF-86AD-9C865C63B999}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

 

--

End of file - 8642 bytes

 

 

le scan de BlackLight est en cours.

[tyranosaure]

Le voila

 

01/12/08 22:55:53 [info]: BlackLight Engine 1.0.67 initialized

01/12/08 22:55:53 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/12/08 22:55:53 [Note]: 7019 4

01/12/08 22:55:53 [Note]: 7005 0

01/12/08 22:56:01 [Note]: 7006 0

01/12/08 22:56:01 [Note]: 7011 1612

01/12/08 22:57:11 [Note]: 7026 0

01/12/08 22:57:11 [Note]: 7026 0

01/12/08 22:57:14 [Note]: FSRAW library version 1.7.1024

01/12/08 23:05:53 [Note]: 2000 1012

[oGu]

Salut Tyranosaure!

 

Tout est propre: ton rapport HijackThis ne montre plus rien, Zlob a été éradiqué, et le scan BlackLight ne montre aucun fichier caché.

 

Tout est ok.

 

Il faudrait savoir COMMENT est venue l'infection pour en tirer des leçons pour l'avenir: Zlob s'installe via de faux-codecs isus de faus sites porno...

 

Conclusion:

• ne jamais télécharger n'importe quoi sans se renseigner
  
• ne jamais installer n'importe quoi sans se renseigner
  
• j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal:
  http://www.virustotal.com/fr/
  
• je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.
  
• je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.
  

---------------------------------------------------------------------------------------------------------------------------------

 

On va maintenant s'assurer qu'il n'y ait pas de spywares:

• Scanne ton PC avec l'antispyware gratuit, portable et discret: Ewido AntiSpy Micro-Scanner
   
  http://download.ewido.net/ewido_micro.exe
  
  
• Double-clique sur le logiciel, laisse-le faire sa mise à jour, puis scanne sans toucher aux réglages par défaut.
  
• Si Ewido te trouve des spy, sauvegarde le rapport avec la touche "Save report" en bas, poste-le ici, puis supprime tout avec la touche "Remove infections".
  

---------------------------------------------------------------------------------------------------------------------------------

 

Pour le centre de sécurité:

• soit tu demandes à SpyBot de réparer le problème quand i lle détecte, cela modifiera ainsi ta clé de registre.
  
• soit tu désactives carrément le centre de sécurité, qui n'est guère utile de mon point de vue . C'est d'ailleurs la solution préconisée par le forum officiel de Kaspersky, cette erreur dépendant de XP et non de l'antivirus.
  

Si tu choisis cette option:

• Dans Démarrer > Exécuter, taper Services.msc puis OK
  
• Choisir le mode "Etendu" (onglets inférieurs)
  
• Grâce à la barre de défilement (à droite) rechercher le service suivant:
   
  Centre de sécurité
   
  
  
• Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
  
• Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter
  
• Dérouler le Type de Démarrage pour le modifier en Désactivé
  
• Cliquer sur Appliquer puis OK
  
• Redémarrer
  

Modifié le 13 janvier 2008 par ogu

[tyranosaure]

Merci ogu!

 

Tout est propre maintenant grace a toi!

Pour ce qui est du comportement sur le net, je suis d'accord avec toi. Le probleme, c'est que je laisse mon ordi a des copains et je ne suis pas derriere eux pour les surveiller et leur demander des comptes quand ils vont sur le net... Je passerai le message donc a l'avenir!

Au moment de mes problemes, j'ai trouve un codec infecte que j'ai vire (il me semble bien que c'etait un codec)

 

Je viens de faire le scan avec ewido et tout est propre!

 

Je me demande quand meme pourquoi Kaspersky n'a pas vu mon virus! C'est juste Spybot qui m'a donne l'alerte et le scan du poste de travail avec Kaspersky ne trouvait aucun probleme.

Pour ce qui est de l'entretien de mon ordi (spybot, et CCleaner, Kaspersky en antivirus), penses-tu que ce soit correct ou y a-t-il plus sur? En particulier, j'ai utilise plein de trucs pour faire ma reparation. Je les garde ou pas?

 

On peut dire que le probleme est brillamment resolu! Merci! (comment on fait pour mettre resolu dans le sujet?)

[oGu]

Pour ce qui est du comportement sur le net, je suis d'accord avec toi.

Le probleme, c'est que je laisse mon ordi a des copains et je ne suis pas derriere eux pour les surveiller et leur demander des comptes quand ils vont sur le net... Je passerai le message donc a l'avenir!

Au moment de mes problemes, j'ai trouve un codec infecte que j'ai vire (il me semble bien que c'etait un codec)

 

C'était probablement le codec infectieux.

 

Si tu ne peux pas faire confiance à tes potes, le mieux est encore de créer deux comptes:

 

- le tien (celui sur lequel tu es actuellement connecté), qui est en "administrateur". Verrouille-le avec un mot de passe.

 

- celui de tes amis qui sera, lui, réglé en "limité": ainsi ils ne pourront RIEN installer ou modifier, ni effacer de fichiers sensibles, sans ton mot de passe.

 

 

A partir de ton compte administrateur, va dans le "panneau de configuration", et dans l'onglet "Compte utilisateur",crée un nouveau compte :

 

 

Règle-le sur "compte limité" :

 

 

Dorénavant, tes amis se connecteront sur ce compte (ils ne pourront pas aller sur le tien du fait du mot de passe): ainsi aucun ver,virus, codec porno infectieux etc... ne pourra s'installer ou s'éxecuter, car les comptes limités INTERDISENT ces actions sur ton PC.

 

N'oublie pas de mettre un mot de passe sur ton compte personnel (celui en "admin"), autrement tout ceci sera inutile.

 

En savoir plus sur les comptes:

 

http://speedweb1.free.fr/frames2.php?page=bureau5#profil

 

 

Je viens de faire le scan avec ewido et tout est propre!

 

Ok.Garde Ewido Micro-Scanner (il est gratuit) et lance-le de temps à autres.

 

Je me demande quand meme pourquoi Kaspersky n'a pas vu mon virus! C'est juste Spybot qui m'a donne l'alerte et le scan du poste de travail avec Kaspersky ne trouvait aucun probleme.

 

Les antivirus ne peuvent pas tout voir, surtout si les virus sont très récents: Kaspersky nel'avait peut-être pas dans sa base de signatures...

 

Par ailleurs Zlob est un rootkit, qui utilise des méthodes qui le rendent furtif: bien peu d'antivirus détectent les rootkits...

 

Spybot, lui, a "seulement" détecté que tes serveurs DNS avaient été modifiés, à moins que cela ne soit lui qui ait installé les serveurs OpenDNS.

 

Pour ce qui est de l'entretien de mon ordi (spybot, et CCleaner, Kaspersky en antivirus), penses-tu que ce soit correct ou y a-t-il plus sur? En particulier, j'ai utilise plein de trucs pour faire ma reparation. Je les garde ou pas?

 

Tu peux garder Ewido et Blacklight et en faire des scans à l'occasion: supprime-tout avec Ewido, et si BlackLight trouve des fichiers cachés, viens poster sur le forum avec le rapport fourni. HijackThis et FixWareOut sont eux, peu utiles si on ne sait pas les utiliser.

 

 

Quelle version de Kaspersky as-tu?? L'antivirus seul ou la suite de sécurité?

 

 

En sécurité (la preuve avec ton infection!), l'essentiel est la prudence, et d'avoir un surf responsable: se méfier du X, des cracks, du Warez, arrêter le peer-to-peer, être vigilant avec les mails reçus.

 

 

Les outils de sécurité sont des alliés, mais on ne peut pas leur faire confiance à 100% (la preuve Kaspersky, pourtant très réputé, s'est fait berner).

 

 

Pour aller un peu plus loin en sécurisation de ton PC:

 

• Je te conseille de régler Kaspersky au mieux en suivant le tuto de malekal:
   
  http://www.malekal.com/tutorial_KIS6.php
  

• Je te conseille d'installer un fichier hosts, par exemple celui de Spybot:le fichier hosts (un simple fichier texte) recense les adresses de sites dangereux/piégés/infectés et empêche tes navigateurs de s'y connecter:
  

POUR INSTALLER UN HOSTS:

• Lancer Spybot
  
• Sélectionner l'onglet "Vaccination"
  
• Décocher TOUTES les cases Firefox (sous peine de ralentissements du surf)
  
• Cocher TOUTES les cases Internet Explorer
  
• Cocher la case: "Windows: Global Hosts" qui va installer un fichier hosts
  
• Cliquer sur le bouton "Vacciner"
   
  Puis:
  
• Menu "démarrer"
  
• Cliquer sur "exécuter"
  
• Saisir "services.msc" puis "ok"
  
• La console des services s'ouvre: chercher le service correspondant à :
  Client DNS
  
• Double-cliquer dessus
  
• Chercher dans la fenêtre qui s'ouvre la ligne "Type de démarrage"
  
• Régler le démarrage sur "désactivé"
  
• Valider avec "appliquer" puis "ok"
  
• Redémarrer
   
  Nota: en cas de dysfonctionnements (hautement improbable!), remettre le réglage du Client DNS sur "automatique" puis redémarrer.
  
• Je te conseille de fermer les ports dangereux de ta machine avec ZebProtect, créé par des membres de Zebulon:
   
  http://www.zebulon.fr/dossiers/40-zebprotect.html
  

• Je te conseille de régler tes services en te contentant des services "à risque" à partir de ces tutos:
   
  http://www.zebulon.fr/dossiers/31-services.html
   
  http://www.libellules.ch/phpBB2/les-servic...5da420f0f5d7577
  

• je te conseille de faire un peu de "hardening", c'est à dire des petits changements, souvent dans la base de registre, qui renforcent la sécurité de XP.
  Il existe un logiciel qui automatise ces manipulations: ZigStack
   
  http://primepage.de/download/?download=11
   
  Décompresse l'archive sur ton bureau et ouvre le dossier "bin". Là, clique sur l'executable Zigstack.
   
  Il te suffit ensuite de cliquer en bas sur "select all" puis sur " set hardening".Puis redémarre.
   
  Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite).
   
  Si oui tu peux supprimer Zigstack de ton PC.
  

• je te conseille de sécuriser ta Box en jetant un oeil sur ce tuto (en espérant que ta Box y soit détaillée):
   
  http://forum.zebulon.fr/index.php?showtopic=106502
  

• Je te conseille de restreindre les droits de ton navigateur (SAUF INTERNET EXPLORER) et de ta messagerie en suivant mon petit tuto sur StripMyRights:
   
  http://www.libellules.ch/phpBB2/strip-my-rights-t26176.html
  

• Enfin si ce n'est déjà fait, utilise exclusivement FIREFOX et sécurise-le avec les extensions suivantes:
   
  - extension AdBlock: http://adblockplus.org/fr/installation
   
  - avec AdBlock, installe les filtres Liste FR + EasyList en abonnement: http://adblockplus.org/fr/subscriptions
   
  - extension Customize Google (disparation des pubs et anonymisation des cookies Google): https://addons.mozilla.org/fr/firefox/addon/743
  

On peut dire que le probleme est brillamment resolu! Merci! (comment on fait pour mettre resolu dans le sujet?)

 

Il te faut éditer ton tout premier message du topic: indique ensuite: [RESOLU] Infection ZLOB - modification des DNS

 

N'hésite pas si tu as besoin de conseils ou si tu as des questions.

 

A+ !

Modifié le 16 janvier 2008 par ogu