Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu] trojan horse intempestifs


Messages recommandés

alors, j'ai désactivé certains services (ceux qu'il était conseillé de désactivé), j'ai installé zeb protect, où j'ai bloqué tous les ports sauf le 135, car je ne sais pas comment faire pour faire une sauvegarde de système (je suis nulle je sais :P)

 

et maintenant, je sais plus quoi faire, j'irai faire un tour sur la page de tesgaz que j'ai déjà vue, mais où il faut que je me plonge plus longtemps et que je fasse tou (ce qui risque d'être tres dur pour moi), mais peut être qu'à la fin, je comprendrais plein de trucs (ce qui n'est pas mon cas en ce moment.

 

Megataupe : j'ai pas très bien compris ce que tu as dis dans ton dernier message.

Salut Charles  . Je vois que tu fais de la pédagogie  et c'est très bien de ne pas oublier cet important aspect d'une bonne sécurité. Pour les problèmes de notre ami le n'ange, je crois que ces bestiolles sont bien au chaud dans les dossiers restore, donc visibles mais sans danger.
Lien vers le commentaire
Partager sur d’autres sites

Megataupe : j'ai pas très bien compris ce que tu as dis dans ton dernier message.

 

Ca veut simplement dire que si un parasite va se loger dans ces dossiers volume restore que le système cré tous les jours (ils servent à la fonction restauration système), il sera bien sur détecté par les antivirus ou antispy mais, ils restent neutralisés tant que tu ne restaures pas le système de ton PC.

 

Il faut absolument fermer le port 135 (RPC locator) avec Zebprotect car, c'est un goufre à parasites.

 

Pour la restauration système, voir ici en images :

 

http://service1.symantec.com/SUPPORT/INTER...020830101856924

Modifié par megataupe
Lien vers le commentaire
Partager sur d’autres sites

mais tout ça ça veut dire que je dois l'activer, ou je dois la desactiver ? (un peu perdue

527222[/snapback]

 

Ca veut dire qu'avant toute modification importante de ton système, il faut créer un point de restauration système manuellement. Quand tu es dans le calendrier de la restauration système, tu cliques sur créer un point de restauration et ensuite tu fermes le port 135 avec Zebprotect.

Lien vers le commentaire
Partager sur d’autres sites

salut :P

 

alors n'ange,on en est où? Est ce que tu as viré manuellement les lignes relevées

 

par le scan=>

 

C:\Documents and Settings\All Users\Application Data\Poll Proc Axis

View\Plan Ante.exe Trojan-Downloader.Win32.Swizzor.bz

 

C:\Documents and Settings\All Users\Application Data\Poll Proc Axis View\RuleSettings.exe Trojan.Win32.Krepper.ab etc....

 

tu as nettoyé les fichiers temporaires?ca serai bien que tu poste un log hijack pour voir.

si un parasite va se loger dans ces dossiers volume restore...

ils restent neutralisés tant que tu ne restaures pas le système de ton PC.

Ce qui veut dire aussi qu'une fois ton pc propre il faudra désactiver la restauration

 

systeme,pour que tous les points de restauration(qui sont infectés) s'effaçent.En

 

réactivant la restauration , un nouveau point sera créé .(restauration utile en cas de

 

plantage pour retrouver un systeme stable).

 

@+

Lien vers le commentaire
Partager sur d’autres sites

voilà mon nouveau log

 

Logfile of HijackThis v1.99.1

Scan saved at 22:33:49, on 30/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security Professional\IAMAPP.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Album Fast Start.lnk = C:\Program Files\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Professional Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\NISSERV.EXE

O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\NISUM.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Norton Internet Security Professional Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\SymPxSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

mais je suis allée voir pour la restauration et elle est déjà désactivée, alors je comprend pas grand chose.

 

et sinon pour les trojan de ce matin, je les ai nettoyés manuellement, un scan aurait été trop long.

Modifié par eile le n'ange
Lien vers le commentaire
Partager sur d’autres sites

Félicitations car, ton log est propre (attend toutefois confirmation des mes co-listiers). Tu peux donc réactiver la restauration système et faire le test de sécurité de Zébulon ici :

 

http://www.zebulon.fr/outils/scanports/test-securite.php

Lien vers le commentaire
Partager sur d’autres sites

effectivement ca a l'air propre tout ca! Juste un nettoyage pour accélérer le pc, une

 

défragmentation de ton disque dur, un nettoyage de ta base de registre à l'aide d'un

 

logiciel Regseeker,

 

un antivirus à jour, un antispyware (spybot),windoz mis à jour et le tout est joué!

 

Ton pc fonctionne normalement à présent?

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir eile le n'ange, megataupe, charles ingals, bonsoir à tous,

 

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

Tu as, en ce moment, 2 antivirus résidents (AntiVir et Norton AV) : il te faut en désinstaller un !
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir charles ingals,

effectivement ca a l'air propre tout ca! Juste un nettoyage pour accélérer le pc, une

 

défragmentation de ton disque dur, un nettoyage de ta base de registre à l'aide d'un

 

logiciel Regseeker,

 

un antivirus à jour, un antispyware (spybot),windoz mis à jour et le tout est joué!

 

Ton pc fonctionne normalement à présent?

527379[/snapback]

Ne vois pas une critique, dans mes lignes... juste un conseil pour être plus précis et plus efficace :

 

Dans ton post, tu parles de nettoyage final et aussi de prévention/protection, tu devrais mieux distinguer les 2 catégories et être plus complet !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...