Message d'erreur framework et infection par eorezo [résolu]

[Thanos]

salut

 

Qu'est ce que tu entends par "piratage" ? Est ce que tu veux dire que ta boite mail est envahie de mails douteux ? Dans ce cas la il ne s'agit pas piratage, mais de spam. Est ce qu'il t'est arrivé de laisser ton adresse mail en clair sur un blog ou sur un forum par ex ? Si c'est le cas, ne t'étonne pas: des robots sillonnent les forums pour récupérer des adresses laissées par des internautes imprudents afin de les spammer.

[Cha-cil]

Bonsoir Thanos, en fait il ne s'agit pas réellement de spams mais de messages tel que celui que je te joins là: mail delivery subsystem et le message est : delivery status notification ( failure), this is an automatically generated delivery status notification.The recipient server did not accept our requests to connect. Learn more at http://mail.google.com/support/bin/answer.py?answer=7720.

Beaucoup de ces messages étaient aussi en asiatique ( surement du chinois...)avec le même contenu et il est arrivé à certains de mes amis de recevoir ces mails de ma part alors que je ne les ai jamais envoyés , ça va de soi!

J'ai ouvert une nouvelle boite mail aujourd'hui et au bout de trois mails envoyés me revient un mail du même type!

As tu une réponse à m'apporter.

Je te remercie de ta patience et de tes conseils!!!

[Thanos]

Cha-cil, juste par précaution, je vais te demander de faire ce scan stp =>

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[Cha-cil]

Salut Thanos,

 

j'ai tenté à 2 reprises de faire la manip que tu m'indiques plus haut,mais elle a fait buggué l'ordi à chaque fois et donc impossible de sauvegarder le rapport.

Je suis retourné sur les différentes adresses mails ce matin et je n'avais aucun message suspect....

Peut-être est ce réglé?

 

[Thanos]

je suis jusqu'au boutiste

 

si le scan GMER n'a pas fonctionné, fais celui ci stp =>

 

Étape 1: RootRepeal (de AD)

Télécharger RootRepeal via un clic droit sur l'un des liens ci-dessous:

http://ad13.geekstogo.com/RootRepeal.zip

http://rootrepeal.googlepages.com/RootRepeal.zip

http://rootrepeal.psikotick.com/RootRepeal.zip

Enregistrer le fichier sur le Bureau.

Créer un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)

 

Décompresser l'archive téléchargée dans ce nouveau dossier RootRepeal

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

Avira Antivir: clic droit sur l'icône dans la barre des tâches (à coté de l'horloge), décocher "Activer Antivir Guard/AntiVir Guard enable"

 

 

 

Étape 3: RootRepeal (de AD)

Dans l'Explorateur, ouvrir le dossier RootRepeal

Faire un double clic sur RootRepeal.exe pour lancer l'outil.

Sous Windows Vista, faire un clic droit sur RootRepeal.exe puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Cliquer sur l'onglet Report (en bas de la fenêtre) comme ceci:

 

Cliquer sur le bouton Scan

 

Dans la nouvelle fenêtre Select Scan, cocher:

+ Drivers

+ Files

+ Processes

+ SSDT

+ Stealth Objects

+ Hidden Services

+ Shadow SSDT

 

Cliquer sur le bouton OK

Dans la nouvelle fenêtre Select Drives, cocher le lecteur système (généralement C:\)

 

Cliquer sur le bouton OK pour lancer l'analyse

 

Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

 

Lorsque l'analyse est terminée, le bouton Save Report sera disponible.

 

Cliquer sur ce bouton Save Report et enregistrer le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal-$$$$$$.txt

 

Ouvrir le menu File, cliquer sur Exit pour fermer le programme.

 

 

Étape 4: Processus de contrôle en temps réel

Important: Réactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 5: Résultats

Envoyer en réponse:

*- le rapport de RootRepeal (contenu du fichier RootRepeal-$$$$$$.txt)

Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

[Cha-cil]

Hello, voilà le rapport RootRepeal.

 

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/04/14 14:55

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEB8D4000 Size: 49152 File Visible: No Signed: -

Status: -

 

SSDT

-------------------

#: 041 Function Name: NtCreateKey

Status: Hooked by "PCTCore.sys" at address 0xf75dae64

 

#: 047 Function Name: NtCreateProcess

Status: Hooked by "PCTCore.sys" at address 0xf75baeee

 

#: 048 Function Name: NtCreateProcessEx

Status: Hooked by "PCTCore.sys" at address 0xf75bb0e0

 

#: 053 Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xf7dec61c

 

#: 063 Function Name: NtDeleteKey

Status: Hooked by "PCTCore.sys" at address 0xf75db652

 

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "PCTCore.sys" at address 0xf75db906

 

#: 098 Function Name: NtLoadKey

Status: Hooked by "<unknown>" at address 0xf7dec63a

 

#: 119 Function Name: NtOpenKey

Status: Hooked by "PCTCore.sys" at address 0xf75d9b64

 

#: 122 Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xf7dec608

 

#: 128 Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xf7dec60d

 

#: 192 Function Name: NtRenameKey

Status: Hooked by "PCTCore.sys" at address 0xf75dbd72

 

#: 193 Function Name: NtReplaceKey

Status: Hooked by "<unknown>" at address 0xf7dec644

 

#: 204 Function Name: NtRestoreKey

Status: Hooked by "<unknown>" at address 0xf7dec63f

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "PCTCore.sys" at address 0xf75db124

 

#: 257 Function Name: NtTerminateProcess

Status: Hooked by "PCTCore.sys" at address 0xf75bab5c

 

==EOF==

[Thanos]

re!

 

Bon rien à signaler

Plus de souci ?

[Cha-cil]

re!

 

Bon rien à signaler

Plus de souci ?

Et bien non, apparemment,tout a l'air d'être redevenu très calme du coté des messages incompréhensibles et intempestifs!!! Un grand MERCI et un grand BRAVO!!!!

C'est vraiment très cool!!!

Beau travail, je ne sais comment j'aurais pu régler ce problème sans toi...

Alors je ne peux que te souhaiter bon courage pour la suite et (pas) à bientôt, je l'espère.

L'ami de Cha-cil

[Thanos]

salut

 

De rien On va finir comme ceci:

 

* Nettoyage des outils téléchargés =>

 

• Relance OtMoveIt 3 en double-cliquant dessus puis clique sur le bouton "Clean Up"!
  
  
• Un message d'alerte apparaît ("Begin cleanup process ?"): clique sur YES
  
  
• Ferme enfin tout ce que tu étais en train de faire (navigateur, etc...) et clique sur Yes à la demande de redémarrage:
  
  Au redémarrage les outils utilisés auront été supprimés, y compris OtMoveIt 3 !
  

Si RootRepeal et GMER sont encore présents, tu peux les supprimer aussi.

 

- Conserve MBAM: Il ne protègera pas ton pc car pour bénéficier de sa fonction de protection résidente et ses mises à jour automatiques, il faudra acheter la licence. Ceci dit, il est toujours efficace pour nettoyer ton pc! il suffit juste de le mettre à jour manuellement avant tout scan.

 

On purge la restauration système car il y a peut être des points de restauration infectés (ca évitera de réinstaller l'infection au cas où tu es amené à l'utiliser) => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC. Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

* Les mises à jour importantes =>

 

- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.

Tu peux utiliser ce programme qui aide à faire le point sur les logiciels qui ont besoin d'une mise à jour >>PSI de Secunia<<

 

- JavaRa peut t'y aider pour Java : http://raproducts.org/

 

* Les sauvegardes =>

 

- Je te conseille vivement de faire des sauvegardes régulières des données qui ont de l'importance pour toi. Lorsqu'on y pense, il est souvent trop tard! Une grosse infection ou un plantage de la machine peuvent rendre les données irrécupérables... Aussi, afin d'éviter ce gros désagrément, il faut prendre l'habitude de faire des sauvegardes régulières. Pour celà je te conseille le logiciel gratuit >>Cobian Backup 8<<

Ce tutoriel montre comment l'utiliser >> http://www.astucesinternet.com/modules/new...php?storyid=207

 

- Tu peux aussi faire une sauvegarde du disque entier (image) pour pouvoir retrouver rapidement ton système en cas de souci.

CloneGenius peut t'y aider => http://www.libellules.ch/dotclear/index.ph...196-clonegenius

 

* Quelques conseils =>

 

- Le pare-feu intégré à Windows n'est pas efficace! il est important d'en installer un vrai pour protéger ton pc >>

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://telechargement.zebulon.fr/zonealarm.html

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen : http://benoit.aun.free.fr/securite-facile-php/jetico.php

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Lance l'installation de ton pare-feu et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquillité .

 

* Des conseils pour sécuriser ton pc au mieux et comprendre les dangers liés à l'utilisation de l'internet dans les deux lien ci-dessous. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer... Pour trouver quels sont les softs qui te conviennent le mieux.

 

Malekal_Morte : http://www.malekal.com/

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

 

Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier.

- IMPORTANT :une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, etc) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert ainsi que les fichiers téléchargés dont la provenance n'est pas sûre!!)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles avec ATF cleaner, defragmentation du disque dur régulière)

- scan hebdomadaire antispyware

 

bon surf @ toi

A bientot sur les forums de sans malwares!