[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +

[Thanos]

Salut

 

Pas de rootkit du MBR manifestement!

A nouveau avertissement du journal d'évènements-système ce jour ; j'ai procédé à la manipulation indiquée :

Le processus appartient au programme Sentinel Protection Installer . Si tu n'utilises pas ce programme, désinstalle le.

 

Je reviens là dessus =>

Je me suis retrouvée il y a quelques jours sur 2 sites qui comportaient des trojans. Les analyses MBAM et Norton n'ont rien décelé.

Peux tu me donner l'adresse des sites par mp ?

 

Rien à signaler pour PCANDIS5.sys: une seule détection qui ressemble fort à un faux positif.

[sharleen*]

Bonjour

 

Ta boîte est pleine, je ne peux t'envoyer le mp pour l'instant, donc.

 

Ok pour Sentinel Protection Installer que je n'utilise pas : je vais voir.

 

 

A + tard

[Thanos]

salut

 

Désolé pour le mp: je viens de faire le ménage

[sharleen*]

Bonsoir.

 

J'ai supprimé Sentinel Protection Installer hier et aujourd'hui, le même message d'avertissement système revient, fin de matinée avant la fermeture de l'ordi : ??

 

Sinon, comme précedemment indiqué : la rubrique "contacts" de la BAL qui s'affiche en allemand, sur le site mozilla, différents noms d'éditeurs pour télécharger Mozilla, IE dont la navigation est fluctuante (les pages qui sont chargées mais le curseur bloqué) : que fait-on ?

 

Merci

[sharleen*]

Re.

 

- A nouveau message d'avertissement ce soir.

ça correspond à :

UDP - 192.168.2.126.1900 - 676

676 : svhost.exe Service Local

 

- si je me connecte au FAI : des pubs en allemands, sur zebulon aussi.

Et par le + gd des hasards : je n'étais pas connectée à zebulon sur le FAI, or j'apparaissais en bas de page parmis les utilisateurs connectés !

Et j'avais bien fermé IE et fait un nettoyage ATFCleaner avant de me connecter au FAI.

 

J'arrête pour ce soir.

En espérant qu'on va finir par trouver le "hic".

 

Modifié le 26 avril 2010 par sharleen*

[sharleen*]

Bonjour.

 

Je ne fais pas de la fixation , mais je relève ce qui est inhabituel :

 

 

A nouveau le message d'avertissement système (tentatives de connexion trop importantes) :

UDP, même adresse IP qu'hier soir, port 652 qui est svchost.exe service local

 

J'ai des bugs de connexions ou d'envoi de mp sur zebulon sur IE qui perdurent.

 

Merci

[sharleen*]

Re-bonjour Thanos

 

Je rajoute ce post pour te signaler qu'en plus des problèmes de pub en allemand, et des noms d'éditeurs multiples et bizarres (?) pour Mozilla, il y a un problème avec la messagerei GMX, sur IE, déjà depuis hier :

 

- j'ouvre IE, je me connecte à la messagerie, je lis l'e-mail reçu et lorsque je clique sur "répondre" le curseur reste en sablier un temps infini = je suis obligée de fermer IE et de le rouvrir à nouveau.

Et comme tu le sais de l'allemand s'est infiltré dans la BAL.

 

En espérant que tu puisses me répondre aujourd'hui.

[Thanos]

salut

 

Désolé pour l'attente sharleen*

 

J'aimerai voir les réglages de Firefox stp car il est possible que ca vienne de là (pubs) >

 

FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux.

 

• Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements.
  
• Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe
  
• Une fenêtre de commande s'ouvre et affiche quelques informations générales.
  
• Laisse faire l'outil jusqu'à affichage de "Recherches terminées.
  Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée].
  
• Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes.
  Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt.
  
• Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé.
  
• Ferme le Bloc-notes et attends les instructions du Conseiller.
  

Note: FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.

[sharleen*]

Re

Et merci.

 

J'espère que je te comprends bien, vu que j'ai désinstallé Mozilla (il reste bien sûr des dossiers ; je n'ai pas nettoyé le registre après)... et que Foxscan affiche ceci :

 

Le système n'a pas pu trouver la clé ou la valeur de registre spécifiée.

Recherche en cours...

ERROR : Access is denied in the key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Fichier introuvable - INSTALL.RDF

 

Quand tu peux, tiens-moi juste au courant s'il doit y avoir du délai

 

Rajout :

 

1/ je viens d'aller sur GMX, nouvelle bizarrerie :

en plus de la rubrique "contacts" maintenant en allemand, un e-mail que j'ai laissé vide et sans destinataire , s'est enregistré dans "brouillon" et affiche "pas de destinataire" à la place de l'adresse électronique : en allemand..

ça fait un certain temps que je n'ai pas été sur un site en allemand, et même à l'époque, je ne retrouvais pas de l'allemand disséminé sur les navigateurs.

 

2/ svchost.exe - port 676 service local a toujours un nombre de tentatives de connexion trop important : ?

Modifié le 29 avril 2010 par sharleen*

[Thanos]

salut sharleen*

 

Poste moi ce rapport pour en voir plus stp =>

 

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> sharleen.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur sharleen.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
  
• Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
  

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu dois voir le message suivant:

• Tape sur la touche Y (Yes) pour poursuivre avec la recherche de nuisibles.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt