TR/Rootkit.Gen detecté sur mon ordi [RESOLU]

[oldwolf1984]

je crois me rappeler que je n'avais fais que les mises à jour prioritaires...

[Falkra]

Bah comme tu veux, mais ce serait pas mal de réessayer, mais si ça se reproduit, ça va être pénible, et il faudra restaurer l'image disque, etc...

[oldwolf1984]

j'ai pas vraiment le choix non ? Si je fais pas ces mises à jours, mon système va redevenir vulnérable et je serais obligé de revenir t'embeter :P :P

 

et puis avec l'image disque justement c'est un peu moins galère.

[Falkra]

OK, tente le coup, il y a du backup.

[oldwolf1984]

et ben écoute j'ai un peu de mal à le croire mais j'ai téléchargé les mises à jour, prioritaires et facultatives, l'ordi a redémarré et tout se passe nickel (je croise les doigts).

 

Ca voudrait dire que ce n'etait qu'une question de drivers pas mis à jour ? c'est possible que ce soit ça ?

 

en tout cas, je vais essayer de suivre les conseils que tu m'as donné pour pas que ça m'arrive encore...

 

il y aurait pas qques derniers tests a effectuer pour etre sur que tout est ok ?

[Falkra]

et ben écoute j'ai un peu de mal à le croire mais j'ai téléchargé les mises à jour, prioritaires et facultatives, l'ordi a redémarré et tout se passe nickel (je croise les doigts).

Si ça se confirme, c'est donc bien un (ancien) problème avec un driver trop vieux, qui serait donc bel et bien réglé.

 

Poste un dernier rapport HIjackThis, mais tu dois pouvoir être tranquille maintenant, et en plus, tu as appris à faire des images-disques, à installer un pare-feu, etc.

[oldwolf1984]

voila mon rapport hijack (peut etre le dernier )

 

et comme tu le dis j'ai appris plein de trucs (grace à toi) et normalement je devrais pas avoir besoin de revenir de sitot.

 

je viens de finir un scan anti virus il m'a rien trouvé, Psi de secunia ne detecte aucun logiciel vulnérable, MBAM idem je me sens en securité :P

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:38:33, on 26/02/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Tall Emu\Online Armor\OAcat.exe

C:\Program Files\Tall Emu\Online Armor\oasrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\Tall Emu\Online Armor\oaui.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Tall Emu\Online Armor\OAhlp.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8942.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (Ma-Config control) - http://fichiers.touslesdrivers.com/maconfi...fig_4_0_2_0.cab

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\OAcat.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe

 

--

End of file - 5113 bytes

[Falkra]

et comme tu le dis j'ai appris plein de trucs (grace à toi) et normalement je devrais pas avoir besoin de revenir de sitot.

Ca c'est très plaisant pour moi, c'est rare d'avoir des utilisateurs qui veulent comprendre, aller au bout des choses, et s'investir pour mieux exploiter et sécuriser leur machine, je ne peux que t'en féliciter !

 

Ton rapport est impeccable.

 

Télécharge OTC d'Old Timer :

http://oldtimer.geekstogo.com/OTC.exe

Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

 

 

Je te remets les derniers conseils sous les yeux, mais je pense que tu as déjà mis en place tout ça :

 

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres.

Et bien sûr, il y a Windows Updates.

 

Rends toi sur cette page de configuration du plugin Flash.

Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.

Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

 

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.

Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

 

Et bien sûr, si tu as des questions, n'hésite pas, et n'oublie pas de faire des sauvegardes.

[oldwolf1984]

Tes précieux conseils sont tous appliqués, je m'en vais de ce pas changer le titre de mon post :P

 

derniere petite question a propos de glary utilities je crois que tu m'avais dis qu'il fallait etre prudent concernant les utilitaires de nettoyage...c'est à dire ?

[Falkra]

Ces nettoyeurs de registre font parfois plus de bien que de mal, et surtout, ils ne rendent pas la machine vraiment plus rapide.

Etre prudent, ce serait déjà accepter les sauvegardes avant modifications, proposées par ces logiciels et ne pas forcément tout supprimer à l'aveuglette.

 

Tu trouveras plus de détails dans la dernière partie de ce document :

http://www.libellules.ch/idees_recues_logiciels.php

Et pour la sécurité, celui-ci :

http://www.libellules.ch/idees_recues_securite.php