[résolu]spywares très résistants

[ipl_001]

Fine!

[megataupe]

Fine!

532907[/snapback]

 

J'ai effectué la modification chef . Reste plus aux nettoyeurs qu'à refaire un copier/coller pour leur usage personnel.

[ipl_001]

Reste plus aux nettoyeurs   qu'à refaire un copier/coller pour leur usage personnel.

Perso, comme c'est dans une discussion épinglée, je vais repiquer en live chaque fois que j'en ai besoin !

[Gataway]

Perso, comme c'est dans une discussion épinglée, je vais repiquer en live chaque fois que j'en ai besoin !

532912[/snapback]

 

Rebonjour à toutes/tous

 

voici mon dernier log, après application de la procédure indiquée ci-dessus par ipl_001 :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:19:37, on 10/07/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDtServ.exe

C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works

 

Shared\wkcalrem.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

 

- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

 

C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Norton Internet Security -

 

{9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers

 

communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -

 

C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security -

 

{0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers

 

communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}

 

- C:\Program Files\Norton Internet Security\Norton

 

AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program

 

Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program

 

Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

 

Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program

 

Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt

 

Software\CounterSpy Client\sunasDtServ.exe

O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt

 

Software\CounterSpy Client\sunasServ.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft

 

AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy

 

Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec

 

Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor]

 

C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft

 

Money\System\Money Express.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st

 

800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program

 

Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

 

C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Organise-notes -

 

{9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers

 

communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} -

 

C:\Program Files\AIM\aim.exe

O9 - Extra button: Messager Wanadoo -

 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo

 

Messager.exe (file missing)

O9 - Extra 'Tools' menuitem: Messager Wanadoo -

 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo

 

Messager.exe (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -

 

http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)

 

-

 

http://v5.windowsupdate.microsoft.com/v5co...ols/en/x86/clie

 

nt/wuweb_site.cab?1106675412409

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

 

http://a840.g.akamai.net/7/840/537/2004061...trendmicro.com/

 

housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

 

Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

 

(MsnMessengerSetupDownloadControl Class) -

 

http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm

 

Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation

 

- C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation

 

- C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec

 

Corporation - C:\Program Files\Fichiers communs\Symantec

 

Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec

 

Corporation - C:\Program Files\Fichiers communs\Symantec

 

Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks -

 

C:\Program Files\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program

 

Files\ewido\security suite\ewidoguard.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -

 

C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program

 

Files\Norton Internet Security\ISSVC.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) -

 

Symantec Corporation - C:\Program Files\Norton Internet Security\Norton

 

AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton

 

Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec

 

Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec

 

Corporation - C:\Program Files\Fichiers communs\Symantec

 

Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -

 

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot

 

Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program

 

Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

J'attends vos commentaires.

Je voudrais également savoir comment il se peut que mon ordinateur se soit montré si vulnérable, malgré norton internet security.

Merci d'avance

[Invité tesgaz]

Salut,

 

ou tu as vu que tu avais appliquer la méthode ??

 

 

faut tout reprendre depuis le début, lire et faire correctement :

http://forum.zebulon.fr/index.php?showtopi...ndpost&p=522499

[Gataway]

Salut,

 

ou tu as vu que tu avais appliquer la méthode ??

faut tout reprendre depuis le début, lire et faire correctement :

http://forum.zebulon.fr/index.php?showtopi...ndpost&p=522499

532937[/snapback]

 

je disais que j'ai suivi les instructions données par ipl_001 dans le message n°4 de cette discussion !!

Modifié le 10 juillet 2005 par Gataway

[Invité tesgaz]

dans le message N°4, il te demande de faire le log en mode sans echec, est-ce le cas de celui que tu as envoyé ?

 

certainement pas,

donc, comme je viens de te le dire plus haut, tu reprends la procédure à 0 comme indiqué dans le lien

 

si on te demande de faire des choses, c'est uniquement pour le bien de ton pc, si cela t'embète, ne le fait pas, mais ne viens pas demander de l'aide

 

tu as compris, ou tu veux que je recommence ?

[Gataway]

dans le message N°4, il te demande de faire le log en mode sans echec, est-ce le cas de celui que tu as envoyé ?

 

certainement pas,

donc, comme je viens de te le dire plus haut, tu reprends la procédure à 0 comme indiqué dans le lien

 

si on te demande de faire des choses, c'est uniquement pour le bien de ton pc, si cela t'embète, ne le fait pas, mais ne viens pas demander de l'aide

 

tu as compris, ou tu veux que je recommence ?

532948[/snapback]

[/quote

 

non, cela ne m'embête pas et c'est bien de l'aide que je cherche, mais le message n°4 de ipl_001 indique bien : "redémarre l'oedinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification" : c'est ce que j'ai fait, je ne comprends pas ce qui ne va pas

[ipl_001]

Bonsoir Gataway, bonsoir à tous,

 

Félicitations ! Je ne vois plus rien d'infectieux dans ton rapport HijackThis !

 

Juste cette ligne qui ne sert à rien :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

 

>Je voudrais également savoir comment il se peut que mon ordinateur se soit montré si

> vulnérable, malgré norton internet security.

Norton Internet Security ne s'est pas montré particulièrement bon !

Différentes raisons possibles :

- NIS n'est pas invulnérable

- NIS nécessite un bon paramétrage

- NIS ne peut pas grand chose contre les vers !

- toute protection doit être complétée par une grande prudence vis à vis de la navigation et de la messagerie, d'une bonne vigilance quant aux dysfonctionnement de manière à réagir très vite !

 

Ceci concernait le nettoyage dans une optique malware ; maintenant que ton ordinateur est propre, on pourrait aller au delà en parlant optimisation de ton système !

[ipl_001]

Rebonjour Gataway, rebonjour à tous,

 

Ton système a été infecté... je suppose que çà ne t'a pas amusé !

Si tu as été infecté, c'est parce qu'il y a des faiblesses dans la protection de ton système et il est important que tu l'améliores de manière à ce que çà n'arrive plus !

 

Protection minimale :

- système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases

( http://windowsupdate.microsoft.com/ ) (catég.3-paramétrage)

- pare-feu bien paramétré, gratuit

par exemple ZoneAlarm ( http://www.zonelabs.com/ ) (catég.2-résident)

- Zeb Protect pour fermer bloquer des moyens d'entrée dans le système pour les malwares ( http://telechargement.zebulon.fr/123.html ) (catég.3-paramétrage)

- antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut), gratuit

par exemple AVAST Home Edition FREE (Download http://www.avast.com/ ) avec souscription obligatoire (catég.2-résident)

- antitroyen gratuit passé périodiquement, par exemple A² ( http://www.emsisoft.net/fr/software/free/ ) avec souscription obligatoire (catég.1ter-maintenance)

- antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 ( http://www.lavasoftusa.com/ ) et Spybot Search and Destroy 1.3 ( http://security.kolla.de/ ) (catég.1ter-maintenance)

- comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d'être ouverts) (catég.3-paramétrage)

- attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage).

- maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

 

(tous ces programmes parfaitement mis à jour avant chaque utilisation).

 

Pour plus de précisions, je te conseille de lire la page Web "Lutte AntiMalware -prévention" http://gerard.melone.free.fr/IT/IT-AM0.html

Lutte AntiMalware -prévention

-1- Jeter Internet Explorer

-2- Mettre à jour le navigateur et le système

-3- Régler le système d'exploitation

-4- Remplacer Microsoft Java VM par Sun Java

-5- Régler Internet Explorer et Outlook

-6- Installer des utilitaires résidents

-7- IE-SPYAD

-8- Fichier Hosts

-9- Lancer des utilitaires non résidents

-10- Adopter une attitude prudente

-11- Tenir prêts, URLs et outils de réparation

-12- Liens

 

Nous faisons de gros efforts pour aider avec de plus en plus d'efficacité et nous voulons lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !

Avec un peu de prévention, il est possible d'être à l'abri des menaces !

S'il te plaît, fais passer le mot autour de toi !

S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !

Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier !