[résolu]Une dernière fois avant de passer au Mac

[Morko]

J'avais posté il y a quelque temps à cause d'un pb de malware... j'ai réinstallé plusieurs fois tout le système, changé d'antivirus (je suis avec Nod32 maintenant) et viré Explorer pour Fire Fox... rien n'y fait : j'attrape toujours qq chose - cette fois-ci c'est "Win32/TrojanProxy.Ranky.NCE", invirable par Nod32, réputé pourtant l'un des meilleurs. La première fois qu'il me l'a indiqué, c'est quand je suis allé dans Windows Update.

 

JE CRAQUE !

 

Je ne sais pas si c'est le virus, mais 1 fois sur deux allumages, l'ordi devient hyper lent, (quand je clique sur poste de travail, il me montre une lampe qui cherche désespérement les disques durs....) voire se bloque, il faut réinitialiser... ça fait en gros plus d'une semaine que je suis sur ces problèmes.

 

BREF, dites-moi SVP s'il y a une chance d'avoir un PC propre ici-bas, ou il faut passer au Mac au plus vite...

 

Peut-être qu'un bon samaritain se proposerait de se déplacer sur Paris contre rémunération ????

[megataupe]

Bonsoir Morko. Avant de passer au Mac que je connais très bien mais, qui n'est plus épargné par les attaques désormais, applique la procédure suivante :

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

[Morko]

Merci à toi Megataupe, j'espère qu'on finira par sortir de ce cauchemar :

 

Logfile of HijackThis v1.99.1

Scan saved at 21:49:46, on 30/07/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoftnews.com/ms/display_mai...?tac=MRU%20List

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

A propos, qu'est-ce que tu recommandes comme Antivirus et Firewall ??

[Morko]

Et hop ! A peine je me suis connecté sur le net que le même virus revient !

 

C'est comme si qq lançait des attaques contre moi personnellement ! Y a de quoi devenir parano !

 

Bon, je comprends pas que cette saloperie ne puisse pas être bloquée... je vais essayer d'autres antivirus...

[megataupe]

A première vue, ton log est propre (nettoyage d'Antivir ?) mais, attend l'avis d'IPL ou des autres spécialistes pour confirmation.

 

Peux-tu me dire si ce : Dsp24Set.exe que l'on trouve sur cette ligne

 

O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n

 

correspond bien à ta carte son ?

 

Sinon, Nod 32 est un bon antivirus et s'agissant du pare-feu, tu as le choix entre Zone Alarm Outpost et Kerio en gratuit (le mieux est de les tester).

[adams.familly]

Bonsoir Morko, bonsoir megataupe,

 

Platform: Windows XP SP1 (WinNT 5.01.2600)

Fais tu les mises à jour critiques de windows ?

[Morko]

Merci à vous pour vos réponses.

 

1) DSP24 est bien ma carte son (Hoontech).

 

2) Je n'ai pas eu le temps de faire l'update cette fois-ci - on m' annoncé un virus. Avant, j'avais updaté et me suis retrouvé avec plein de spywares.

 

Mais je viens de découvrir votre article sur l'installation en toute sécurité, et vais télécharger les mises à jour SP1 et SP2 à partir de votre site.

 

En ce qui concerne Nod32, il ne contient pas un firewall ???? Danc ce cas, ce serait un début de réponse...

[megataupe]

Merci à vous pour vos réponses.

 

1) DSP24 est bien ma carte son (Hoontech).

 

2) Je n'ai pas eu le temps de faire l'update cette fois-ci - on m' annoncé un virus. Avant, j'avais updaté et me suis retrouvé avec plein de spywares.

 

Mais je viens de découvrir votre article sur l'installation en toute sécurité, et vais télécharger les mises à jour SP1 et SP2 à partir de votre site.

 

En ce qui concerne Nod32, il ne contient pas un firewall ???? Danc ce cas, ce serait un début de réponse... 

544158[/snapback]

 

Nod 32 à ce que je me souviens n'embarque pas de firewall. Par contre, il détecte bien ton trojan (j'ai vérifié dans sa base). Pour ton cafard, voici ce qu'en dit Sophos :

 

Troj/Ranck-L est un cheval de Troie de porte dérobée qui permet à l’intrus distant d’acheminer le trafic HTTP à travers l'ordinateur.

 

Afin de s’exécuter au démarrage du système, Troj/Ranck-L paramètre l’entrée du registre suivante :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchosts32

 

Troj/Ranck-L fonctionne en permanence en tâche de fond, surveillant un port TCP choisi au hasard entre 10000 et 50000. Le cheval de Troie envoie vers un serveur Web distant des informations concernant le port mis sous surveillance via une requête Web.

Désinfection

Récapitulatif Description Désinfection

Cette section vous indique comment procéder à la désinfection de ce virus.

 

Veuillez suivre les instructions de suppression des chevaux de Troie.

 

Windows NT/2000/XP/2003

 

Dans Windows NT/2000/XP/2003 vous allez également devoir modifier l’entrée du registre suivante. La suppression de cette entrée est facultative dans Windows 95/98/Me. Veuillez lire l’avertissement concernant la modification du registre.

 

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L’éditeur de registre s’ouvre.

 

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

 

Recherchez l’entrée HKEY_LOCAL_MACHINE :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchosts32

 

et supprimez-la si elle existe.

 

Fermez l’éditeur du registre.

 

Quand tu auras supprimer cette entrée (si elle existe), tu fais les mises à jour de sécurité du SP1, tu télécharges un vrai Firewall (voir ici pour le paramétrer):

 

http://speedweb1.free.fr/frames2.php?page=tuto1

 

 

et tu nous tiens au courant.

[ipl_001]

Bonsoir Morko, megataupe, bonsoir à tous,

 

...

Ce que je disais dans d'autres discussions :

 

Infection =

 

-1- fichier(s) sur disque dur + activation dans base de registres (+ processus) visibles dans HijackThis -> examiner log HJT

 

-2- fichier(s) sur disque dur + activation dans base de registres (+ processus) invisibles dans HijackThis -> effectuer plusieurs scans AV et collecter les indices (passer les antidotes classiques ; rechercher sur Google, rechercher disque et BdR)

 

-3- faille dans le système -> vérifier FireWall ; effectuer Windows Update sur http://windowsupdate.microsoft.com/

 

-4- intrusion par port ouvert par un ancien malware -> vérifier FireWall ; installer ZebProtect sur http://telechargement.zebulon.fr/123-zeb-protect.html

 

Rien de visible dans rapport HJT, effectuer opérations -3- et -4-

Tester en enlevant le câble de connexion à l'Internet.

 

Vérifier les protections.

[megataupe]

Clair IPL, d'autant que ce PC n'a aucun firewall d'actif visiblement (peut être celui d'XP ? Mais on sait ce qu'il vaut ).

 

le lien pour Zebprotect :

 

http://telechargement.zebulon.fr/123-zeb-protect.html

Modifié le 30 juillet 2005 par megataupe