Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Trojans differents selon antivirus

alexisha

Par alexisha
dans Analyses et éradication malwares

 Partager

Messages recommandés

Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)

Message #113

http://forum.zebulon.fr/index.php?showtopi...5645&st=105

 

AVG (Bouclier)

http://www.malekal.com/tutorial_AVG_AntiSpyware.php

 

 

SpywareDoctor (Bouclier)

http://www.aidemonpc.info/index.php?page=a...to&tuto=133

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

Le pare-feu de XP est pas tellement bien côté..mais personnellement je crois quil est sous estimé .Son avantage principale pour le commun des mortels est qu'il facile à comprendre......alors vaut mieux un pare-feu rudimentaire bien configuré qu'un pare-feu performant mal configuré... .je celui de XP avec un routeur bien configuré et je suis en confiancemais demeure que sans le routeur jopterais pour un pare-feu logiciel du genre ZA Pro

 

Source :

http://mywebpages.comcast.net/SupportCD/XPMyths.html

XP Firewall

 

Myth - "The Windows XP Firewall is not good enough because it lacks outbound filtering."

 

Reality - "I believe there are a lot of incorrect assumptions and outright myths about outbound filtering. I really like the Firewall in Windows XP Service Pack 2 (SP2). It is lightweight, centrally manageable, does the job well, is unobtrusive, and does something very critical: it protects the system at boot. That last one is crucial; we have seen many systems in the past get infected during boot even with a firewall turned on. Any outbound host-based firewall filtering in Windows XP is really just meaningless as a security feature in my opinion. True, it stops some malware, today, but only because current malware has not been written to circumvent it. There simply are not enough environments that implement outbound rules for the mass market malware authors to need to worry about it. In an interactive attack the attacker can circumvent outbound filters at will. To see how, consider this. Circumventing outbound host-based firewall filters can be accomplished in several ways, depending on the scenario of the actual attack. First, the vast majority of Windows XP users run as administrators, and any malware running as an administrator can disable the firewall entirely. Of course, even if the outbound filter requires interaction from the user to open a port, the malware can cause the user to be presented with a sufficiently enticing and comprehensible dialog, that explains that without clicking "Yes" they will not ever get to see the "dancing pigs". See, the problem is that when the user is running as an administrator, or the evil code runs as an administrator, there is a very good chance that either the user or the code will simply disable the protection. Of course, the user does not really see that dialog, because it is utterly meaningless to users. That is problem number one with outbound filtering. Given the choice between security and sufficiently enticing rewards, like "dancing pigs", the "dancing pigs" will win every time. If the malware can either directly or indirectly turn off the protection, it will do so. The second problem is that even if the user, for some inexplicable reason clicked "No. Bug me again" or if the evil code is running in using a low-privileged account, such as Network Service, the malware can easily step right around the firewall other ways. As long as the account the code is running as can open outbound connections on any port the evil code can simply use that port. Ah, but outbound Firewalls can limit outbound traffic on a particular port to specific process. Not a problem, we just piggy back on an existing process that is allowed. Only if the recipient of the traffic filters based on both source and destination port, and extremely few services do that, is this technique for bypassing the firewall meaningful. The key problem is that most people think outbound host-based firewall filtering will keep a compromised asset from attacking other assets. This is impossible. Putting protective measures on a compromised asset and asking it not to compromise any other assets simply does not work. Protection belongs on the asset you are trying to protect, not the one you are trying to protect against! Asking the bad guys not to steal stuff after they have already broken into your house is unlikely to be nearly as effective as keeping them from breaking into the house in the first place."

 

http://babelfish.altavista.com/tr

Modifié par Zonk

alexisha Junior Member

alexisha

Posté(e)
  • Auteur
Posté(e)

Merci Zonk,

je viens de rentrer chez moi après 2 jours d'absence. Je vais étudier les links que tu m'as laissé et écrire des suites. Visiblement, pour le moment pas de problème. Internet plus rapide. Mais par contre lorsque j'écris, parfois le curseur se met sur une autre ligne au lieu de suivre. Tu sais pourquoi?

ce n'est pas la première fois que ça m'arrive...

Zonk Godlike Member

Zonk

Posté(e)
Posté(e)
Merci Zonk,

je viens de rentrer chez moi après 2 jours d'absence. Je vais étudier les links que tu m'as laissé et écrire des suites. Visiblement, pour le moment pas de problème. Internet plus rapide. Mais par contre lorsque j'écris, parfois le curseur se met sur une autre ligne au lieu de suivre. Tu sais pourquoi?

ce n'est pas la première fois que ça m'arrive...

Tant et aussi longtemps que l'Équipe Sécurité n'aura pas donne sa bénédiction sur la santé de ton ordi je ne m'occuperai pas de ta souris........

alexisha Junior Member

alexisha

Posté(e)
  • Auteur
Posté(e)

je profitte du dimanche et un peu de temps libre (avant les carnaval ici à rio de Janeiro qui demarre dèjà avec plus de 35 voir 40°!) pour ecrire la suite :

 

J'ai suivi les conseils, alors si j'ai bien compris voilà ce que j'ai fait :

 

J'ai lncè hijackthis en cliquant sur do a scan system only et coché sur la ligne : O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

 

Voici mon nouveau rapport hijack :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:01:48, on 20/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Dell\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\EVALEX~1\LOCALS~1\Temp\Rar$EX37.016\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Dell\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Dell\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 8084 bytes

 

ça va?

alexisha Junior Member

alexisha

Posté(e)
  • Auteur
Posté(e)

Le message 113 il y a juste marqué ceci :

 

Le HJT ??? tu peux me le faire tout de suite,ca serait cool......

Voici les ImpÉcr et le paramètrage idéal,selon mon ami Run Duke:

 

et c'est tout. Visblement il manque qq chose, non?

Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)
Le message 113 il y a juste marqué ceci :

 

Le HJT ??? tu peux me le faire tout de suite,ca serait cool......

Voici les ImpÉcr et le paramètrage idéal,selon mon ami Run Duke:

 

et c'est tout. Visblement il manque qq chose, non?

Tu as raison ..il manque quelques chose....mais j'ai vérifié et c'est bien là....c'est des liens qui apparaîtront quand le site qui héberge les image sera fonctionnel....(Pix.nofrag.com)...ça devrait se placer bientôt......alors tu pourras voir les images des paramètres que je suggère.....

@+

édit: le site horts fonction est celui-ci

http://pix.nofrag.com/

Qu'en est il des boucliers de AVG et SpywareDoctor???

ton dernier rapport HJT ne me montre rien de menacant...rendu à ce point l'aide de l'Équipe Sécurité sera de mise

Modifié par Zonk
alexisha Junior Member

alexisha

Posté(e)
  • Auteur
Posté(e)
Tu as raison ..il manque quelques chose....mais j'ai vérifié et c'est bien là....c'est des liens qui apparaîtront quand le site qui héberge les image sera fonctionnel....(Pix.nofrag.com)...ça devrait se placer bientôt......alors tu pourras voir les images des paramètres que je suggère.....

@+

édit: le site horts fonction est celui-ci

Site d'hebergement

Qu'en est il des boucliers de AVG et SpywareDoctor???

ton dernier rapport HJT ne me montre rien de menacant...rendu à ce point l'aide de l'Équipe Sécurité sera de mise

 

 

J'ai desactivé Spyware doctor et réinstallé AVG qui me donne ainsi 30 jours gratuit de protection "resident"

 

un trojan sur mon disk externe :P

alexisha Junior Member

alexisha

Posté(e)
  • Auteur
Posté(e)

J'arrête pas d'avoir le message svt d'ANtivir :

 

Detection!

 

A Virus or unwanted program was found!

What should happen the file?

 

E:\d.com

Is the Trojan horse TR/Crypt.NSPM.Gen

 

Il me donne comme option :

 

"Acces deny"

 

je dis ok et il réapparaît, aux autres options pareil! (pas de possibilité de "Repair"

 

Que faire? :P

Zonk Godlike Member

Zonk

Posté(e)
Posté(e) (modifié)
J'arrête pas d'avoir le message svt d'ANtivir :

 

Detection!

 

A Virus or unwanted program was found!

What should happen the file?

 

E:\d.com

Is the Trojan horse TR/Crypt.NSPM.Gen

 

Il me donne comme option :

 

"Acces deny"

 

je dis ok et il réapparaît, aux autres options pareil! (pas de possibilité de "Repair"

 

Que faire? :P

...pour ce qui est de la détection de menace par Antivir ,je te recommande la quarantaine ou la suppression...........................ça va prendre l'aide de l'Équipe Sécurité....je suis à bout de ressources.......

@+

Modifié par Zonk

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...