Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] infection TR/Crypt.ZPACK.Gen tdlcmd.dll

noshitheel

Par noshitheel
dans Analyses et éradication malwares

 Partager

Messages recommandés

noshitheel Junior Member

noshitheel

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

voici mon log d'HijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:37:30, on 2/01/2010

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Tools\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\web\NetMeter\NetMeter.exe

C:\Program Files\Tools\RMClock\RMClock.exe

C:\Users\noshitheel\Documents\Downloads\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Tools\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [C:\Program Files\web\NetMeter\NetMeter.exe] C:\Program Files\web\NetMeter\NetMeter.exe

O4 - Startup: RMClock.lnk = ?

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Tools\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Tools\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Tools\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Tools\CyberLink\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

 

--

End of file - 3922 bytes

 

 

Je ne remarque qu'une seule différence : C:\Windows\system32\SearchFilterHost.exe

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Supprime TDSS killer, plus besoin. :P

 

Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats.

 

Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace.

 

Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

 

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres.

Et bien sûr, il y a Windows Updates.

 

Rends toi sur cette page de configuration du plugin Flash.

Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.

Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

 

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.

Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

img-103332veltm.jpg (clique sur l'image).

 

Plus d'infos dans la FAQ sécurité du site.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

noshitheel Junior Member

noshitheel

Posté(e)
  • Auteur
Posté(e)

Salut,

 

D'abord un énorme merci de m'avoir aidé.

 

Si tu as le temps de me répondre, j'ai une question : comment tu as fait sur base des rapports de Hijackthis déduire ce qu'il fallait faire sur ma machine ?

 

 

Sinon, pour revenir à la marche à suivre, j'ai :

 

- supprimé le répertoire c:\tdsskiller, c'est suffisant je pense,

 

- je garde bien MBAM, vraiment mieux que spybot que j'avais auparavant,

 

- au sujet du pare-feu, je me suis toujours posé la question si celui du routeur suffisait ou non en fait, c'est pour ça que je n'en ai pas rajouté un "vrai" (mais je vais bien lire ton lien :P,

 

- merci également pour les liens intéressants sur java/flash/P2P et pour PSI que je ne connaissait pas.

 

 

Ne t'inquiète pas si tu n'as pas le temps de répondre à mes questions, je comprendrai tout à fait, vu les gens qui sont et seront plus dans le besoin que moi :P

 

 

Encore une fois un grand merci pour la désinfection !

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
comment tu as fait sur base des rapports de Hijackthis déduire ce qu'il fallait faire sur ma machine ?
Il faut connaître le fonctionnement du système (surtout ça), ainsi que les infections et les outils à utiliser, et leur maniement, après ça va tout seul, tu finis par lire ça comme une partition. :P

 

au sujet du pare-feu, je me suis toujours posé la question si celui du routeur suffisait ou non en fait, c'est pour ça que je n'en ai pas rajouté un "vrai"
La plupart des routeurs destinés aux particuliers proposent de la redirection de ports NAT : Network Address Translation. Les modems type "box" le proposent également. Il s'agit de rediriger (ou non) des ports vers la/les machine(s) de ton choix sur un réseau. Si dans la pratique ce système permet de protéger une machine en n'autorisant que certains ports et en bloquant le reste, cela ne dispense pas de l'installation d'un pare-feu logiciel bidirectionnel, qui filtrera non seulement ce qui vient d'internet mais aussi ce qui y va depuis ta machine, ce qu'un routeur NAT ne fait pas. Le pare-feu basique intégré à Windows XP ne remplit pas cette fonction, celui de Vista le fait en revanche, mais de façon très/trop basique, en autorisant pratiquement tout.

 

Si tu veux creuser ces questions, je t'invite à parcourir ceci :

http://www.libellules.ch/idees_recues_securite.php

 

N'hésite pas. :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...