Bilan de sécurité sur mon ordinateur

[patatarac]

Salut, je suis de retour avec un ordi à nouveau accessible .

Deux remarques me paraissent interressantes par rapport à l'incident:

 

1-(de Bleuet) : Je viens de vérifier. CoMoDo me trouve 3 faux positifs parfaitement clean après 1 scan avec ZHP 2.31.

Ne t'aurait-il pas deleter des fichiers totalement sains ?

 

Note : ce n'est pas la 1ère fois que je constate cette attitude de comodo PF.

 

2-(de Thorgal) : En effet, les deux fonctions antimalwares de comodo et de spyware terminator ont peut être créé un conflit d'où le problème de fonctionnement que tu as connu.

Bien content pour toi que ton pc redémarre.

 

Que me conseillez-vous, dois-je faire un scan, dois-je réinstaller comodo en virant au préalable Spyware Terminator?

[Apollo]

Vire-moi cette inutilité de Spyware Machin er installe MalwareBytes anti malware.

Il sera bien suffisant.

 

Maintenant, si tu as viré Comodo tu peux en choisir un autre...

Tu as l'embarras du choix:

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/tutoriel-jetico-pe...all-t93489.html

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

Vérifie toujours la compatibilité d'un logiciel avec ton système avant de l'installer.

 

1 scan avec ZHP 2.31.

 

L'outil de Coolman est une sérieuse référence, mais il ne doit te servir QUE pour t'informer; laisse aux conseillers en sécurité le soin d'analyser les rapports des outils qu'il font utiliser.

 

La désinfection ne s'improvise pas, elle s'apprend et c'est une responsabilité, non un passe-temps...

 

@++

[bleuet]

Salut, je suis de retour avec un ordi à nouveau accessible .

Deux remarques me paraissent interressantes par rapport à l'incident:

 

1-(de Bleuet) : Je viens de vérifier. CoMoDo me trouve 3 faux positifs parfaitement clean après 1 scan avec ZHP 2.31.

Ne t'aurait-il pas deleter des fichiers totalement sains ?

 

Note : ce n'est pas la 1ère fois que je constate cette attitude de comodo PF.

 

2-(de Thorgal) : En effet, les deux fonctions antimalwares de comodo et de spyware terminator ont peut être créé un conflit d'où le problème de fonctionnement que tu as connu.

Bien content pour toi que ton pc redémarre.

 

Que me conseillez-vous, dois-je faire un scan, dois-je réinstaller comodo en virant au préalable Spyware Terminator?

 

du topic Forums de Zebulon.fr > Software/ redémarrage perpétuel.

CoMoDo PF a 1 fonction HIPS comme ST. Il y a eu conflit certainement.

Antivir+CoMoDo PF ( Firewall security+ defense security level actif) + MBAM et/ou AVG anti spyware font 1 bon assemblage efficace.

Faire 1 image de l'OS (avec Drive image XML gratuit par ex.) sur 1 autre partition et tu es tranquille. >>

http://www.libellules.ch/phpBB2/driveimage...ues-t18757.html

 

CoMoDo fait bien 1 sauve des fichiers supprimés, mais le hic est de trouver comment on les restaure au cas ou ?

Il fait la sauve en ---.text. Et je trouve pas dans quarantaine, l'option "restaurer". Il y a "edit" sans extension, "remove", "purge".

Bien avancé avec ça.

N'installe pas CoMoDo et ST si les 2 HIPS sont actifs. Je n'utilise pas ST, mais le HIPS de CoMoDo en "Safe Mode" te demandera ton OK sur tout ce qui est modifié ou installé. Si tu es sûr du PC et de ce que tu fais mets le en "Clean PC mode".En "paranoïd mode" > bon courage , De ce côté, il fait bien son boulot !

 

Tu peux faire 1 Hijackthis et le poster avant de passer des logs. de nettoyage qui pourraient troubler les pistes.

 

[bleuet]

Du coup j'ai pas vu sécurité > analyse rapport hijackthis ....

 

@ toi Apollo1. Désolé et

[patatarac]

voici un rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:03:08, on 27.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\Microsoft LifeCam\MSCamS32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\V0220Mon.exe

C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\vVX3000.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\MSN Messenger\usnsvc.exe

C:\Programme\MSN Messenger\livecall.exe

C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe

C:\Dokumente und Einstellungen\vera\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: autobit.lnk = C:\sysprep\bit\bit.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: autobit.lnk = C:\sysprep\bit\bit.exe (User 'Default user')

O4 - Startup: autobit.lnk = C:\sysprep\bit\bit.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

 

--

End of file - 7060 bytes

[Apollo]

Re,,

ce pc devra être optimisé car il y a beaucoup trop de programmes au démarrage de Windows et cela bouffe énormément des ressources, même en tournant en tâche de fond; il faudra voir avec le forum d'optimisation.

 

En attendant, installe la dernière version de Java:

 

http://java.com/fr/download/manual.jsp

 

Après, et seulement si l'installation est une réussite utiliser la seconde option de Javara (Remove Older Versions).

 

 

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  
• Sous Vista: clic droit/Excécuter en temps qu'administrateur Clique sur Search For Updates
  
• Sélectionne Update Using jucheck.exe puis clique sur Search
  
• Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
  
• Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

 

NB: en cas de problème d'installation de la dernière version de la console, télécharger la version "hors ligne" sur le bureau: http://javadl.sun.com/webapps/download/AutoDL?BundleId=23111 et l'installer toutes applications fermées sauf protections pc.

Il ne doit jamais rester que la dernière version dans le "Ajouter/supprimer des programmes".

*************************

Pour contrôler les éventuelles failles dans tes applications et obtenir le lien vers les correctifs:

 

Pour être tenu au courant de l'évolution de certaines applications et être dirigé vers des liens de mises à jour de ces programmes: installe le PSI de Secunia.

Une analyse par semaine suffit amplement.

********************************

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  --> Sous Vista: Clic droit/exécuter en temps qu'administrateur.
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

**************************

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

@++

[Apollo]

Il n'y a toujours pas d'antivirus sur cet ordi?

 

Je pense avoir donné les instructions pour en installer un pourtant...

[Zonk]

Il n'y a toujours pas d'antivirus sur cet ordi?

 

Je pense avoir donné les instructions pour en installer un pourtant...

[patatarac]

je suis au boulot justement.

pour mémoire, je viens juste de récupérer l'accès à mon disque dur.

alors laissez moi un peu de temps.

[Zonk]

je suis au boulot justement.

pour mémoire, je viens juste de récupérer l'accès à mon disque dur.

alors laissez moi un peu de temps.

Bon point...mais pas besoin de te facher mon ami ...on t'as pas insulter il me semble

@+