Securité

[ndiaye75]

WawaSeb, est ce possible d'avoir des liens ou de la documentation afin de pouvoir lire et analyser des rapports de:

HijackThis, Smitfraudfix, KASPERSKY ON-LINE SCANNER , et autres infos que vous jugerez utiles.

Cordialement.

Ndiaye75

[WawaSeb]

Bonjour ndiaye75 !

 

*** Bravo, ta machine est propre ; les restes trouvés par le scan en ligne sont des faux positifs !! ***

 

 

1) Supprime les dossiers / fichiers suivants (si présents) :

• C:\Documents and Settings\alioune\Desktop\Securité\SmitfraudFix\ <-- le dossier
  
• C:\Program Files\Mozilla Firefox\SmitfraudFix\ <-- le dossier
  
• C:\Users\alioune\Desktop\Securité\SmitfraudFix.zip <-- le fichier
  
• C:\Users\alioune\Desktop\SmitfraudFix.exe <-- le fichier
  
• C:\Rapport.txt <-- le fichier
  

 

2) Télécharge le Norton Removal Tool de Symantec

• Exécute-le (clic-droit, Exécuter en tant qu'Administrateur)
  
• Suis toutes les instructions à l'écran
  
• Redémarre ta machine
  

 

 

# En ce qui concerne EoRezo, je te demande de bien lire ce qui suit :

CNIL INFORMATIQUE ET LIBERTE : Les informations qui vous sont demandées

sont indispensables pour la prise en compte de votre demande de fourniture des services EOREZO. En application de la loi n°78-17 du 6 janvier 1978 modifiée par la loi n°2004-801 du 6 août 2004, relative à l'informatique et aux libertés vous disposez du droit individuel d'accès et de rectification des informations qui vous concernent. En outre, en acceptant les Conditions générales et notamment son article 5 vous consentez à ce que ces informations puissent faire l'objet d'une exploitation commerciale, d'une communication à des tiers ou d'une cession, conformément à la réglementation applicable, sauf à ce que vous vous y opposiez formellement en écrivant à EOREZO, 14 rue de Lincoln 75008 PARIS.

--> Je te conseille donc la désinstallation de cette application !

 

 

# Google Toolbar

--> As-tu volontairement installé cette barre d'outils ?

--> Souvent ces "toolbars" s'installent par d'autres logiciels via une case pré-cochée...

Utilisation de Google (extrait des conditions d'utilisation):

 

"Informations personnelles et autres données collectées

 

* Google recueille des informations personnelles lorsque vous vous inscrivez à un service Google ou lorsque vous fournissez ces informations de votre propre initiative. Elles peuvent en outre être combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des contenus personnalisés.

* Google utilise des cookies et d'autres technologies afin faciliter votre utilisation des services Google, afin d'étudier l'usage qui en est fait et plus généralement afin d'améliorer nos prestations.

* A chaque fois que vous consultez notre site Internet ou faites appel à nos services, les serveurs de Google enregistrent automatiquement des informations telles que l'URL, l'adresse IP, le type et la langue du navigateur, ainsi que la date et l'heure de la connexion.

* Pour plus d'informations, veuillez vous reporter à la version complète de la Charte de confidentialité de Google. "

Source: http://www.google.be/intl/fr/privacy.html

 

"La barre d'outils Google a été conçue pour être utilisée en combinaison avec les services de recherche Google. En conséquence, l'utilisation que vous faites de la barre d'outils Google est également définie par les Conditions d'utilisation et par les Règles de confidentialité énoncées par Google."

Source: http://tools.google.com/firefox/toolbar/FT...fr/install.html

Plus d'infos dans cet excellent article de malekal_morte !

 

 

# Ta console JAVA n'est pas à jour, ce qui laisse des failles de sécurité et permet aux malware's de revenir...

 

• Télécharge la dernière version de Java Runtime Environment (JRE) 7 .
  
• Descends sur la page jusqu'à "Java Runtime Environment (JRE) 6u7, The Java SE Runtime Environment (JRE) allows end-users to run Java applications".
  
• Clique alors sur "Download"
  
• Arrivé sur cette page-ci, remplis les champs comme indiqué sur l'image et clique sur "Continue"
  
  
• Coche la case et accepte la license
  
• La page se recharge
  
• Coche la case Windows Offline Installation et clique sur jre-6u7-windows-i586-p.exe
  
• Ferme tous tes programmes (surtout les navigateurs Internet)
  
• Clique sur "démarrer", "panneau de configuration", "Programmes et fonctionnalités" et désinstalle toutes les anciennes versions de JAVA
  
• Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)".
  
• Clique sur le bouton "modifier / supprimer"
  
• Répète les points 9 et 10 autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
  
• Redémarre ta machine
  
• Après le reboot, clique sur jre-6u7-windows-i586-p.exe pour installer la nouvelle version... suis les instructions à l'écran
  

 

# Rencontres-tu encore des problèmes avec ta machine ?

# Si oui, lesquels ?

 

 

WawaSeb, est ce possible d'avoir des liens ou de la documentation afin de pouvoir lire et analyser des rapports

--> Nous verrons cela en toute fin de procédure, si tu le veux bien...

--> Peux-tu remettre un dernier rapport HijackThis pour vérifier que tout est en ordre stp ?

 

Bonne journée !!

[ndiaye75]

WawaSeb

 

NB: J'ai fait une connerie en supprimant le repértoire Securite dans le chemin:

C:\Documents and Settings\alioune\Desktop\Securité

 

 

Ci dessous le fichier log de hijackthis:

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:26:35, on 04/08/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPStart.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\System32\cmd.exe

C:\Windows\system32\conime.exe

C:\Users\alioune\AppData\Local\Temp\RtkBtMnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\alioune\Desktop\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://local.swarmcast.net:8001/proxy.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: WhatsUp Gold Syslog - Ipswitch, Inc. 10 Maguire Road - Suite 220 Lexington, MA 02421 - C:\Program Files\WhatsUp\IPSyslog.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 8242 bytes

[ndiaye75]

Pour ta question à savoir est ce que j'ai rencontré des problèmes après le redémarrage la réponse est : Non

[WawaSeb]

Bonjour ndiaye75,

 

*** Le travail touche à sa fin ! ***

 

 

NB: J'ai fait une connerie en supprimant le repértoire Securite dans le chemin:

--> Si tu avais mis des choses à garder absolument dans ce dossier, je te recommande de ne plus toucher à ton PC et de me le signaler, je te donnerai des logiciels qui permettent de retrouver (parfois !) les données effacées.

--> S'il se trouve encore dans la "Corbeille", tu peux les restaurer...

 

 

# Relance HijackThis (en tant qu'Administrateur), ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) <-- si tu as désinstallé EoRezo

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" <-- si tu comptes mettre manuellement à jour ta console JAVA !

 

 

Pour ta question à savoir est ce que j'ai rencontré des problèmes après le redémarrage la réponse est : Non

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise un compte limité pour surfer : voir cette page (merci JoK) ou Microsoft !
   
3. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
4. Evite les sites douteux, illégaux, pornographiques, ...
   
5. Méfie-toi des programmes gratuits (financés par...)
   
6. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
7. Garde un Antivirus à jour !
   
8. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
9. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

 

 

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Ton infection principale : SmitFraud

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

#

Ouvre ton premier po

s

t

#

Clique

s

ur le bouton

Editer

--->

Edition compl

è

te

#

Ajoute [R

é

s

olu] au titre de ton

s

ujet

 

En espérant de tout coeur que tu ne te feras plus infecter...

[ndiaye75]

WawaSeb,

 

NB: J'avais déja supprimé ça, mais il est toujours présent dans la dernier fichier log de HijackThis.

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

 

NB: Cette ligne est également présente encore avec le log de HijackThis.

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

 

 

Je voulais savoir la technique pour pouvoir lire un fichier de HijackThis.

Merci d'avance.

[ndiaye75]

WawaSeb,

 

 

J'ai fait passé de nouveau HijackThis mais les 2 lignes demeurent toujours.

 

J'avais déja supprimer la ligne ci dessous( O2) . j'ai cherche dans mon répertoire l'installation elle n'y figure plus par contre quand je fais scanner par HijackThis il le retour. Idem pour la ligne 04.

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing).

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe".

 

NB: J'aimerais savoir la stratégie technique à utiliser pour lire des fichiers log comme HijackThis, etc...

Merci d'avance

[WawaSeb]

Bonsoir ndiaye75 !

 

--> Je suis persuadé que c'est le TeaTimer qui bloque la correction des lignes avec HijackThis...

--> Reprends le point numéro 1) de mon post #9, relance HijackThis en tant qu'Administrateur et ré-essaie...

[Falkra]

+1 c'est TeaTimer. Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection.

Ne le réactive plus, non seulement ça gêne, mais en plus ça ne protège pas grand chose. Promis. On peut expliquer en détail si besoin.

 

Lance ne administrateur Spybot (clic droit, exécuter en tant que... administrateur). Il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Mais ça WawaSeb te l'a déjà dit, et fort bien.

 

(salut WawaSeb, (ceci fait suite à une conversation sur TeaTimer))

[ndiaye75]

Bonsoir WawaSeb,

 

Comme demandé j'ai bien enlevé le teatimer dans resident mais ces deux lignes demeurent toujours présentes.

Si je relance a nouveau spybot je vérifie que teatimer est décoché.

Merci de ton intervention Falkra