(RESOLU ) F-secure filtre désactivé !?

[jpt]

re-bonjour !

 

1/ j'ai corrigé les lignes 04 avec HJT cf log ci-après

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:00:19, on 17/10/2009

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18828)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program Files\Orange\AntivirusFirewall\FSGUI\fsguidll.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Orange\AntivirusFirewall\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Orange\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O13 - Gopher Prefix:

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Orange\AntivirusFirewall\ORSP Client\fsorsp.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

 

--

End of file - 4254 bytes

 

2/ Dossier crawler : n'existe plus

 

3/ usbfix : j'ai juste fais un scan et supprimé (sauvagement) l'outil de mon bureau...à tout hasard je vais passer le désintalleur...

 

Vous avez répondu à mon probléme F-secure...et vous suggére de mettre résolu à mon sujet ?

 

à bientôt

 

jpt

[Tibonhomme]

OK pour le rapport HijackThis, bon travail

Il reste quelques points importants à vérifier.

 

2/ Dossier crawler : n'existe plus

Comment cette toolbar a-t-elle été supprimée? Peut-être reste-t-il des traces actives dans le registre.

 

3/ usbfix : j'ai juste fais un scan et supprimé (sauvagement) l'outil de mon bureau...à tout hasard je vais passer le désintalleur...

Je t'ai mis en garde contre les outils de désinfection. Tu n'a pas seulement fais une analyse (et une suppression?), il y a également une vaccination. D'autre part, il n'est pas conseillé de le supprimer "à la sauvage" comme tu dis.

 

Tu as utilisé coup sur coup 2 outils spécifiques sans suivre les procédures de manière adéquate et complète, prudence prudence.... Il ne faudrait pas que cela nuise à tes efforts pour maintenir une machine saine et à jour, n'est-ce pas?

 

Si tu désires que nous fassions les choses proprement, de façon à ne pas laisser de trace inutile dans ton système, dis-le moi.

 

A plus tard

[jpt]

bonsoir "tibonhomme" !

 

ok avec toi pour les outils spécifiques ...à n'utiliser que sur demande des "helpers"...

 

Concernant la fin du "nettoyage"...si tu as le temps pour me conseiller,je suis bien évidenment ok pour terminer l'optimisation propre du pc...

 

dans cette attente

 

jpt

[Tibonhomme]

Bonsoir jpt,

 

Concernant la fin du "nettoyage"...si tu as le temps pour me conseiller,je suis bien évidenment ok pour terminer l'optimisation propre du pc...

C'est une bonne décision.

 

Il reste à s'occuper des outils spécifiques présents et s'assurer que tout est OK.

J'ai signalé cela à un modérateur Sécurité afin qu'il (ou un autre spécialiste) t'indique à la suite la procédure adéquate pour ne pas commettre d'impair. Ne tente donc surtout rien avec ces outils en attendant.

 

A très bientôt.

[Le Novice °¿°]

Bonsoir ou bonjour jpt et Tibonhomme

 

Un message que j'ai reçu de Jaime le samedi 17/10/09 à 07:55

Je cite :

 

Pour rassurer jpt et Tibonhomme dans sa réponse de samedi à 16h42

Pour ces deux lignes :

 

S4 F-Secure Filter;F-Secure File System Filter; \??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2008-12-04 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer; \??\C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2008-12-04 25184]

 

Cette version Orange/Securitoo/F-Secure est prévue pour Windows 2000, Windows XP-SP2 et Windows Vista,

 

Pendant l’installation suivant la version de Windows les drivers qui ne correspondent pas à la version sont désactivés, donc normal

 

On retrouve bien les dossiers de ces drivers dans l’Explorateur Windows

 

Pour XP : http://www.cijoint.fr/cj200910/cijfxXu3Ws.jpg (version Securitoo comme on peut le voir)

 

Pour Vista : http://www.cijoint.fr/cj200910/cijSTeeQWH.jpg (version Orange)

 

Explications pour version Securitoo ou version Orange :

Le même Anti-Virus Firewall peut se télécharger ou chez Orange, ou chez NordNet/Securitoo

====================

 

Pour cette question de Tibonhomme à 20h18 :

 

4/ Oui, je dispose d'un pare-feu intégré à F-secure, le pare-feu windows est bien désactivé,

En revanche je ne le vois pas dans les processus dans le rapport HijackThis (tout comme il doit manquer d'autres processus).

 

Il est bien activé, voir cette ligne :

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

 

Autre message de Jaime reçu le samedi 17/10/09 à 15:16

Je cite :

 

J'ai essayé de m'inscrire sur Zebulon, je crois que je dois recevoir un message pour confirmation

Et je suis impuissant alors qu'ils partent ce matin sur une fausse piste ...

Signales à Tibonhomme que j'enrage de ne pouvoir les aider !!!...

 

Je confirme que les deux drivers qui leur posent problèmes sont pour Windows 2000-SP4 et Windows XP-SP2/SP3

Voir les saisies d'écrans du message précédent.

Surtout ne pas chercher à les supprimer, ni à les activer avec Vista, tu vois les risques !

 

Au cas ou, si quelqu'un a le même probléme avec Windows 2000-SP4 ou Windows XP-SP2/SP3

Ce sont les drivers de Vista qui sont désactivés, idem ne pas chercher à les supprimer ou les activer

Modifié le 17 octobre 2009 par Le Novice °¿°

[Tibonhomme]

Bonsoir Le Novice,

Bonsoir à Jaime,

 

Vous pouvez être rassurés, rien n'a été désactivé ou supprimé à mauvais escient.

Merci encore pour vos interventions et votre aide précieuse (à bientôt sur le forum)

J'ai maintenant transmis le sujet auprès de l'Equipe Sécurité pour des raison d'utilisation d'outils spécifiques de désinfection.

 

Bonne soirée

[jpt]

Bonjour Jaime,

bonjour Le Novice

Bonjour Tibonhomme

 

Un Grand Merci à tous les 3 pour votre aide, votre patience, votre ténacité et votre professionnalisme pour l'aide apportée à la réponse de mon problème...

 

Je reste en attente pour faire les dernières manips d'optimisation ;

 

Bonne fin de WE !

 

Cordialement,

 

jpt

[Falkra]

J'ai maintenant transmis le sujet auprès de l'Equipe Sécurité pour des raison d'utilisation d'outils spécifiques de désinfection.

J'arrive.

 

A bientôt.

[Falkra]

Bonjour,

 

quels outils doivent être retirés et/ou nettoyés ?

[Tibonhomme]

Bonjour Falkra,

 

Merci de ton intervention.

Voici un résumé des échanges concernant les outils spécifiques pou t'éviter d'aller rechercher dans le sujet :

 

Extrait message #5

Edit : j'ai également noté ces 2 lignes

 

2009-09-18 12:27:03 ----D---- C:\ToolBar SD

2009-09-18 12:15:08 ----A---- C:\TCleaner.txt

 

As-tu utilisé Toolbar-S&D seul, ou te l'a-t-on prescrit (procédure de désinfection)?

As-tu utilisé ToolsCleaner pour supprimer Tollbar-S&D?

 

------

 

Extrait message #8

je répond aux 2 questions

 

1/ Toolbar-S&D : téléchargé "seul"

2/ j'ai toujours "Toolbar-S&D" et ToolsCleaner sur le bureau

 

------

 

Extrait message #12

As-tu installé F-Secure sur un pc parfaitement sain?

Je te pose cette question à cause de la présence de Toolbar S&D que tu as utilisé (présence du rapport C:\TB.txt).

Pour quelle raison as-tu utilisé cette application (qu'il n'est pas conseillé, comme pour tous les utilitaires de désinfection spécifique, d'utiliser seul, j'y reviendrai)?

S'il te plaît, disposes-tu toujours du rapport de Toolbar S&D, et dans ce cas peux-tu coller le rapport dans ton prochain message.

 

------

 

Extrait message #13

9/ pour ToolBar S&D : mea culpa, j'ai voulu être calife à la place du calife...voici le rapport

 

 

-----------\\ ToolBar S&D 1.2.9 XP/Vista

 

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2

X86-based PC ( Multiprocessor Free : AMD Athlon™ 64 X2 Dual Core Processor 5200+ )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : jeanpaul ( Administrator )

BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:357 Go (Free:267 Go)

D:\ (Local Disk) - NTFS - Total:94 Go (Free:94 Go)

E:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )

Option : [1] ( 18/09/2009|12:28 )

 

[ UAC => 1 ]

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\Crawler

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Local Page"="C:\\Windows\\system32\\blank.htm"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.msn.com/"

"Local Page"="C:\\Windows\\System32\\blank.htm"

 

 

--------------------\\ Recherche d'autres infections

 

 

Aucune autre infection trouvée !

 

[ UAC => 1 ]

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 18/09/2009|12:29 - Option : [1]

 

------

 

Extrait message #14

(Note : je passe sur mes remarques sur les outils de désinfection spécifique)

 

Pour terminer, le rapport Toolbar S&D est un rapport de recherche. As-tu sélectionné l'option 2 - Suppression-, et dans ce cas disposes-tu d'un rapport?

Si ce n'est pas le cas dis-le moi sans effectuer aucune action.

 

------

 

Extrait message #15

Pour les outils speciaux : message reçu 5/5 !

 

pour toolbar s&d : pas de suppression !

 

------

 

Extrait message #17

Ok pour Toolbar S&D, merci de la précision.

Néanmoins, je ne vois plus C:\Program File\Crawler qui est effectivement une toolbar nocive.

L'as-tu désinstallé de quelque manière?

 

------

 

Extrait message #20

As-tu toujours un dossier C:\Program File\Crawler qui est effectivement une toolbar nocive?

Si c'est le cas, il va falloir le traiter.

 

Je vois d'autre part :

 

2009-10-08 16:31:01 ----A---- C:\UsbFix.txt

2009-10-08 16:28:10 ----D---- C:\UsbFix

 

Encore une fois, attention avec les outils de désinfection spécifiques icon_wink.gif

Tu ne l'as peut-être utilisé que pour la vaccination, car je vois :

 

2009-10-08 16:33:35 ----RASHD---- C:\autorun.inf

 

 

Pour la vaccination, tu aurais aussi pu utiliser l'outil créé par Gof VaccinUSB.exe : http://forum.zebulon.fr/infections-par-sup...es-t131959.html

Cet outil crée en plus plusieurs autres fichiers aux noms couramment empruntés par les fichiers de propagation d'infections. Voir un exemple de rapport dans le message #19 : Visitez mon site web

Les antivirus réagissent parfois lors du téléchargement ou de l'installation, il faut ignorer.

Il peut être nécessaire de lancer l'application an tant qu'administrateur.

Ce même message contient également l'outil de désinstallation spécifique delVaccinUSB.

 

Si tu veux utiliser cette vaccination, il est nécessaire de supprimer celle installée par UsbFix de Chiquitine29 et C_XX en utilisant l'outil spécifique (lien en bleu) sur cette page : http://pagesperso-orange.fr/nostools/usbfix.html

 

 

------

 

extrait message #21

2/ Dossier crawler : n'existe plus

 

3/ usbfix : j'ai juste fais un scan et supprimé (sauvagement) l'outil de mon bureau...à tout hasard je vais passer le désintalleur...

 

------

 

Extrait message #22

l reste quelques points importants à vérifier.

 

2/ Dossier crawler : n'existe plus

 

Comment cette toolbar a-t-elle été supprimée? Peut-être reste-t-il des traces actives dans le registre.

 

 

3/ usbfix : j'ai juste fais un scan et supprimé (sauvagement) l'outil de mon bureau...à tout hasard je vais passer le désintalleur...

 

Je t'ai mis en garde contre les outils de désinfection. Tu n'a pas seulement fais une analyse (et une suppression?), il y a également une vaccination. D'autre part, il n'est pas conseillé de le supprimer "à la sauvage" comme tu dis.

 

------

 

Extrait message #23

ok avec toi pour les outils spécifiques ...à n'utiliser que sur demande des "helpers"...

 

------

 

Extrait message #24

Il reste à s'occuper des outils spécifiques présents et s'assurer que tout est OK.

J'ai signalé cela à un modérateur Sécurité afin qu'il (ou un autre spécialiste) t'indique à la suite la procédure adéquate pour ne pas commettre d'impair. Ne tente donc surtout rien avec ces outils en attendant.

 

------

 

Voila Falkra, en espérant que cela te précisera un peu les choses.

J'ai préféré ne désinstaller aucun outil spécifique et te laisser juge de ce qu'il convient de faire.

A plus tard

Modifié le 21 octobre 2009 par Tibonhomme