encore le virus Win32:OnLineGames

[oGu]

Salut!

 

Bravo pour ton travail , tu as bien bossé e tta machien doit être bien plus propre maintenant!

 

Antivir a fait du bon boulot, tu as pu noter sa supérorité par rapport à Avast.

 

Par contre un truc me chiffone:

 

 

C:\Documents and Settings\arnaud\Mes documents\fichier\PROGRAMMES\Utilitaires Didier\Slysoft.CloneDVD.v2.8.5.1.Keygen.Only-TSZ.zip

[0] Archive type: ZIP

--> Slysoft.CloneDVD.v2.8.5.1.Keygen.Only-TSZ/Keygen.exe

[DETECTION] Is the Trojan horse TR/Agent.15485

[iNFO] The file was moved to '48383700.qua'!

 

Pas étonnant que tu sois infecté si tu utilises des cracks et keygens, qui embarquent dans la majorité des cas des virus!

 

Pour t'en convaincre, lis cet article sur les dangers des cracks:

 

http://forum.zebulon.fr/index.php?showtopic=85544

 

Va faire un tour sur le forum de désinfection, il y a autant d'infections dûes à MSN qu'au peer-to-peer et aux cracks...

 

 

1- SUPPRIMER LES POINTS DE RESTAURATION INFECTES:

 

Antivir a surtout mis à jour des points de restau infectés (ce n'est pas très grave) en plus de résidus de l'infection de clés amovibles: on va s'en débarasser.

• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquez sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  
• Redémarrer
  

• Puis:
  

• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquez sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  

2- SUPPRIMER LES TRACKING-COOKIES

Ewido a mis à jour des cookies traceurs sans danger: on va quand même les shooter !

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur Remove infections
  

 

3-HIJACKTHIS

 

• Relance HijackThis
  
• Sélectionne "Do a scan only"
  
• Coche les lignes suivantes:
  
  R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
   
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
   
  O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll
   
  O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll
   
  O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr\msntb.dll
   
  O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
   
  O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
   
  O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
  
• Clique en bas sur "Fix checked"
  
• Redémarre et poste un nouveau log!
  

 

4-OtMoveIt

• Double clic sur OTMoveIt.exe
  
• Sélectionne et copie les lignes ci-dessous
   
  
  C:\Program Files\MSN Apps
  C:\Program Files\Yahoo!\Common\yinsthelper.dll
  
  
• Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  
• Clic sur le bouton rouge MoveIt
  
• Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes"
  
• Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles
  

 

 

 

NOTA: notes-tu des améliorations sur ton PC, et ton antivirus t'alerte-t-il encore d'un trojan??

Modifié le 23 février 2008 par oGu

[cyrielle]

Pour les cracks et keygens g ne sais pas kes k c ? ni d'ou ils viennent (peut être didier? mon oncle qui me donne parfois d trucs ?)

 

g fait c k tu m'as dit dans "l'onglet Restauration du système

g fait c k tu m'as dit avec Ewido

et avec HIJACKTHIS

voici son nouveau log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:59:07, on 23/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\MESSAG~1\Demon.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Apoint2K\Apntex.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 3.73\AMVConverter\grab.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 3.73\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 9454 bytes

 

 

je v maitenant faire desuite le trucs avec OTMoveIt.exe

merci encore de ton aide

[cyrielle]

pour OTMoveIt.exe

voilà le rapport:

C:\Program Files\MSN Apps\Updater\Download\AU3415718 moved successfully.

C:\Program Files\MSN Apps\Updater\Download\AU156140 moved successfully.

C:\Program Files\MSN Apps\Updater\Download moved successfully.

C:\Program Files\MSN Apps\Updater moved successfully.

C:\Program Files\MSN Apps\ST moved successfully.

C:\Program Files\MSN Apps\Shared moved successfully.

C:\Program Files\MSN Apps\MSN Toolbar moved successfully.

C:\Program Files\MSN Apps moved successfully.

File/Folder C:\Program Files\Yahoo!\Common\yinsthelper.dll not found.

File/Folder not found.

 

Created on 02/23/2008 17:12:11

[oGu]

Pour les cracks et keygens g ne sais pas kes k c ? ni d'ou ils viennent (peut être didier? mon oncle qui me donne parfois d trucs ?)

 

Alors fournis à Didier l'article que je t'ai conseillé !!

 

 

Ta machine semble propre; en tout cas HijackThis n'indique plus d'entrées problématiques:

• constates-tu des améliorations de ton côté?
  
• Antivir t'alerte-t-il encore de la présence d'un trojan comme le faisait Avast! ?
   
   
  Tu peux supprimer OtMoveIt et Flash Disinfector; conserve Ewido, tu pourras l'utiliser à l'occasion.
   
  On va s'assurer qu'il n'y ait pas d'infection cachée, puis je te fournirai quelques conseils de sécurisation si tu le souhaites:
   
   
  
• Télécharge BlackLight de F-Secure sur ton bureau:
  
  
• Lance-le (il n'y a pas besoin d'installation), accepte la licence, puis clique sur "scan".
  
  
• Poste le rapport ici même (il se trouvera sur ton bureau)
  

Modifié le 23 février 2008 par oGu

[cyrielle]

j'ai lancé le scan d'antivir et il a trouvé "juste" 1 virus, voila le rapport:

 

 

AntiVir PersonalEdition Classic

Report file date: samedi 23 février 2008 17:22

 

Scanning for 1120425 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: AZEMA

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 20:22:16

ANTIVIR2.VDF : 7.0.2.113 1673728 Bytes 08/02/2008 20:22:16

ANTIVIR3.VDF : 7.0.2.180 334848 Bytes 22/02/2008 20:22:16

AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 22/02/2008 20:22:18

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 22/02/2008 20:22:18

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: E:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: samedi 23 février 2008 17:22

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'notepad.exe' - '1' Module(s) have been scanned

Scan process 'HijackThis.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'hpqgalry.exe' - '1' Module(s) have been scanned

Scan process 'KHALMNPR.EXE' - '1' Module(s) have been scanned

Scan process 'hpqwmi.exe' - '1' Module(s) have been scanned

Scan process 'Residence.exe' - '1' Module(s) have been scanned

Scan process 'SonyTray.exe' - '1' Module(s) have been scanned

Scan process 'SetPoint.exe' - '1' Module(s) have been scanned

Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned

Scan process 'wcescomm.exe' - '1' Module(s) have been scanned

Scan process 'ApntEx.exe' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'WkUFind.exe' - '1' Module(s) have been scanned

Scan process 'hpcmpmgr.exe' - '1' Module(s) have been scanned

Scan process 'mmtask.exe' - '1' Module(s) have been scanned

Scan process 'iPodService.exe' - '1' Module(s) have been scanned

Scan process 'dragdiag.exe' - '1' Module(s) have been scanned

Scan process 'Demon.exe' - '1' Module(s) have been scanned

Scan process 'CnxMon.exe' - '1' Module(s) have been scanned

Scan process 'eabservr.exe' - '1' Module(s) have been scanned

Scan process 'qttask.exe' - '1' Module(s) have been scanned

Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned

Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned

Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned

Scan process 'HP Wireless Assistant.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'Apoint.exe' - '1' Module(s) have been scanned

Scan process 'AGRSMMSG.exe' - '1' Module(s) have been scanned

Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned

Scan process 'hkcmd.exe' - '1' Module(s) have been scanned

Scan process 'igfxtray.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'SMAgent.exe' - '1' Module(s) have been scanned

Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

55 processes with 55 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '47' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\hiberfil.sys

[WARNING] The file could not be opened!

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\48224755.qua

[DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen

[iNFO] The file was moved to '47f248a7.qua'!

Begin scan in 'E:\' <WD Passport>

 

 

End of the scan: samedi 23 février 2008 18:42

Used time: 1:19:37 min

 

The scan has been done completely.

 

5523 Scanning directories

484458 Files were scanned

1 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

1 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

484457 Files not concerned

10976 Archives were scanned

2 Warnings

10 Notes

 

pffffffffffffffffouuu, enfin !

j'ai mis ce virus et les 164 autres de hier soir en quarantaine, que dois je en faire?

je vais maintenant suivre les derniers conseil que tu m'as donné ...

 

 

 

Antivir t'alerte-t-il encore de la présence d'un trojan comme le faisait Avast! ?

[oGu]

j'ai lancé le scan d'antivir et il a trouvé "juste" 1 virus, voila le rapport:

 

 

 

C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\INFECTED\48224755.qua

[DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen

[iNFO] The file was moved to '47f248a7.qua'!

 

Antivir détecte en fait comme un virus...sa propre quarantaine !! Rien de grave donc!

 

 

 

j'ai mis ce virus et les 164 autres de hier soir en quarantaine, que dois je en faire?

je vais maintenant suivre les derniers conseil que tu m'as donné ...

 

Vide la quarantaine.

[cyrielle]

g supprimé OtMoveIt et Flash Disinfector

et conservé Ewido

 

g Téléchargé F-Secure et lancé le scan:

je n'ai pas réussi à poster le rapport mais il me dit qu'il n'a trouvé aucun item caché

 

quels sont tes quelques conseils de sécurisation?

Crois-tu k mon ordi est clean?

Q faire des virus en quarantaine?

Où aurais je pu choper ce virus pourri? et k dois-je ne plus faire ? (je relirais avec plus d'attention les qques liens k tu m'as déjà donné)

 

JE connecte parfois un app photo numérique à l'ordi? une ptite clé USB? le disque dur ext portable à une box TV de tele2 ? y aurait-il des risques pour ces derniers d'avoir été infectés? comment le vérifier?

 

Sinon j'ai refilé le virus a mon frère par clé USB, peut-il suivre la même "marche à suivre que tu m'as donné"? ou vaut-il mieux que je lui donne l'adresse de ce forum?

En tout cas je te remercie...

...merci pour ta patience

tes compétences

et ta gentillesse!

[oGu]

Re!

 

g Téléchargé F-Secure et lancé le scan:

je n'ai pas réussi à poster le rapport mais il me dit qu'il n'a trouvé aucun item caché

 

Alors tout va bien, ta machine est clean, félicitations pour ton travail: tu as été attentive et efficace !

 

 

 

 

Q faire des virus en quarantaine?

Où aurais je pu choper ce virus pourri? et k dois-je ne plus faire ? (je relirais avec plus d'attention les qques liens k tu m'as déjà donné)

 

Vide la quarantaine via l'interface d'Antivir. Au pire, ils sont de toute façon inoffensifs, vu qu'ils sont bloqués par la quarantaine.

 

Tu as du choper ce truc en connectant ta clé à une machine infectée (facs, lycées, écoles, cybercafés, etc)...Une collègue l'avait chopé en branchant sa clé dans la salle des profs par exemple...

 

 

On va "vacciner" ton PC contre ce type d'infection:

• Télécharge VaccinUSB (qui en est le créateur?? C'est toi Gof??)
  ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!!)
  
• Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB
  
• Double-clique dessus
  

-----------------> VaccinUSB, à l'image d'un vaccin va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus de ce type tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé !

 

 

Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant.

 

Une solution simple consiste aussi à ouvrir son disque dur ou sa clé en faisant un clic-droit dessus puis: explorer; plutôt que de l'ouvrir d'un double-clic.

 

 

Si tu veux comprendre ton infection plus en détail, lis cet article de Gof:

http://forum.zebulon.fr/index.php?automodu...p;showentry=540

 

 

 

JE connecte parfois un app photo numérique à l'ordi? une ptite clé USB? le disque dur ext portable à une box TV de tele2 ? y aurait-il des risques pour ces derniers d'avoir été infectés? comment le vérifier?

 

 

Si tu les a branchés au moment ou tu as passé Flash Disinfector, ils sont normalement nettoyés. Si tu ne l'avais pas fait: recommence la procédure Flash Disinfector en les branchant sur ton PC. L'appareil photo ne dois pas être infecté, mais sa carte SD ou sa memory card, peut-être.

 

 

Sinon j'ai refilé le virus a mon frère par clé USB, peut-il suivre la même "marche à suivre que tu m'as donné"? ou vaut-il mieux que je lui donne l'adresse de ce forum?

 

 

Il est déconseillé de suivre une procédure sans helper pour guider: chaque désinfection doit être personnalisée!

Demande-lui de poster sur ce forum en se créant un sujet explicatif.

 

 

quels sont tes quelques conseils de sécurisation?

 

Les voici, tu vas pas être déçue!!

 

Ce ne sont que des conseils basiques, ils ne sont en rien exhaustifs, mais ils sont efficaces et relativement faciles à mettre en place, à condition de prendre le temps de tout lire et comprendre.

 

Si tu as des questions n'hésite pas!!

 

Quelques règles de base à respecter en sécurité:

• j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks.
  
• ne jamais télécharger n'importe quoi sans se renseigner
  
• ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels !
  
• j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal:
  www.virustotal.com/fr
  
• je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.
  
• je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés.
  
• ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles.
  
• je me méfie des mails que je reçois
  
• je en connecte pas mes clés USB n'importe où
  
• je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes
  
• la première cause d'infection est le manque de prudence et de discernement de l'internaute
  
• je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.
  

 

 

1===/// CREER UN COMPTE LIMITE ///===

 

Pour sécuriser ta machine lors de tes surfs, la première chose ) faire est de créer un COMPTE LIMITE sur ta machine: dorénavant, tu te connecteras sur ce compte pour surfer ou chatter, et ainsi aucun ver,virus, codec porno infectieux, trojan (la liste est longue!) etc... ne pourra s'installer ou s'éxecuter, car les comptes limités INTERDISENT ces actions sur ton PC. C'est la plus simple et la plus efficace des protections.

 

Ton compte actuel, qui est ADMINISTRATEUR, pourra être utilisé pour de la maintenance, des installations de logiciels etc...

 

 

 

A partir de ton compte administrateur, va dans le "Panneau de configuration", et dans l'onglet "Compte utilisateur",crée un nouveau compte :

 

 

Règle-le sur "Compte limité" :

 

 

 

 

 

 

 

 

2===/// INSTALLER UN HOSTS ///===

 

 

Un hosts est un simple fichier texte recensant les sites à risque et empêchant ta machine de s'y connecter:

 

 

POUR INSTALLER UN HOSTS AVEC hpHosts:

 

 

• Télécharger le logiciel hpHosts
  
  

• Installer-le en cliquant successivement sur "next" puis "install"
  
• Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
   
  
  

• Redémarre
  

Quand tu auras terminé ces deux étapes, on pourra poursuivre si tu le souhaites

 

 

 

3===/// FERMER LES PORTS ///===

• 
  
  
• Je te conseille de fermer les ports dangereux de ta machine avec ZebProtect, créé par des membres de Zebulon
  
  
  

4===/// REGLER LES SERVICES A RISQUES ///===

• Je te conseille de régler tes services en te contentant des services "à risque" à partir de ces tutos: lis-les attentivement!!
  
  
  
• Tuto de Falkra
  
• Tuto de Tesgaz
  
  
  

 

5===/// RENFORCER LE REGISTRE ///===

 

Je te conseille de faire un peu de "hardening", c'est à dire des petits changements, souvent dans la base de registre, qui renforcent la sécurité de XP.

• Il existe un logiciel qui automatise ces manipulations: ZigStack
  
• Décompresse l'archive sur ton bureau et ouvre le dossier "bin".
  
• Clique sur l'executable Zigstack.
  
• Clique en bas sur "select all" puis sur " set hardening".
  
• Redémarre.
   
  Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite).
   
  Si oui tu peux supprimer Zigstack de ton PC.
  

 

6===/// SECURISER TA BOX ///===

• je te conseille de sécuriser ta Box en jetant un oeil sur ce tuto (en espérant que ta Box y soit détaillée):
   
  
  
  

7===/// RESTREINDRE LES DROITS DE FIREFOX et de ta MESSAGERIE/TCHAT ///===

• Je te conseille de restreindre les droits de ton navigateur (SAUF INTERNET EXPLORER) et de ta messagerie en suivant mon petit tuto sur StripMyRights
   
  
  
  

8===/// UTILISER ET SECURISER FIREFOX ///===

• Enfin si ce n'est déjà fait, utilise exclusivement FIREFOX et sécurise-le avec les extensions suivantes:
   
  - extension AdBlock
  edit: j'ai l'impression que les sites AdBlock français sont en carafe...à voir.
  - avec AdBlock, installe les filtres Liste FR + EasyList en abonnement
   
  - extension Customize Google (disparation des pubs et anonymisation des cookies Google)
  

A bientôt !

Modifié le 23 février 2008 par oGu

[cyrielle]

Merci beaucoup,

Je vais faire au mieux pour suivre tout tes conseils.

 

Mon ordi et moi avons mérité un p'tit repos...

 

encore merci

Bonne soirée et à bientôt