séquelles pollution

[c.junior]

salut, j'ai suivi vos conseils (prédésinfection) et malgré l'éradication de nombre de trojans (avec Microsoft antispyware, antivir en mode sans echec, secuser en ligne, j'ai aussi réparé Wxp avec le CD, ...) il reste des choses qui ne vont pas et donc ce n'est pas fini... J'espère arriver à achever ce qui reste avant que ça recommence comme avant. Merci

 

voici le log que je viens de faire

 

Logfile of HijackThis v1.99.1

Scan saved at 16:14:34, on 19/11/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Utilisateur\Mes documents\DOWNLOADS\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Belgacom Skynet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [MS Unix Binary] trmupdate.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Unix Binary] trmupdate.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

[Jack_Burton]

Salut,

 

J analyse ton rapport, réponse dans un moment!

 

Re,

 

Imprime ces instructions ou sauvegarde les dans un fichier texte de façon à pouvoir les consulter en mode sans échec.

 

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

 

2/ Redémarre en mode sans échec.

 

3/ Vérifie d'avoir accès à tous les fichiers

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

4/ Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Belgacom Skynet

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] trmupdate.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MS Unix Binary] trmupdate.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

 

Ferme toutes les fenêtres sauf HijackThis et "Fix Checked".

 

5/ Supprime le(s) fichier(s) incriminé(s) [s'il(s) existe(nt) encore] par l'Explorateur Windows :

 

-trmupdate.exe<---ce fichier est probablement placé dans C:\Windows ou C:\Windows\System32, utilise la fonction recherchée via "démarrer/rechercher/des fichiers ou des dossiers" pour le débusquer !!!

 

6/ Nettoyage dans la base de registre:

 

Démarrer -> Exécuter -> tape regedit et va successivement :

 

*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

[MS Unix Binary] trmupdate.exe

 

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

[MS Unix Binary] trmupdate.exe

 

Ferme ensuite le registre.

 

7/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

 

8/ Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification.

[c.junior]

je dois logger 10 x avant d'arriver à coller le log

 

Logfile of HijackThis v1.99.1

Scan saved at 20:30:09, on 19/11/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Documents and Settings\Utilisateur\Mes documents\DOWNLOADS\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

[Jack_Burton]

Re bonsoir,

 

Ton rapport est propre! As tu toujours des dysfonctionnements?

[c.junior]

par exemple je dois me logger plusieurs x pour pouvoir répondre sur le forum autrement ça dit chaque "désolé vous n'êtes pas autorisé à répondre"

 

par contre Windows update fonctionne maintenant. J'ai enfin le sp2

[Jack_Burton]

Salut,

 

Ravi que tout soit rentré dans l ordre!

 

par exemple je dois me logger plusieurs x pour pouvoir répondre sur le forum autrement ça dit chaque "désolé vous n'êtes pas autorisé à répondre

Cela ne vient certainement pas de ton pc mais plutot du forum!

Il arrive que celui-ci soit en "maintenance" et lorsque cela arrive, il est difficile de poster ou de naviguer sur le forum!

 

A présent, quelques conseils de sécurité :

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)

- une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)

 

- scan hebdomadaire antispyware

 

Pour en savoir plus, consulte la page de ipl_001

http://gerard.melone.free.fr/IT/IT-AM0.html

 

Tu dois également installer les outils suivants:

 

-=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial pour le sécuriser: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

-=> IE-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

 

 

 

-=> Un vrai pare-feu (pas le joujou offert avec XP)

 

-Kerio

-Zone Alarm

-Sygate Personal Firewall Free

 

tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry487252

 

 

-=> SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

-=> Ad-awareSE

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

 

-=> SpyBot-Search & Destroy

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

 

-=> a² free (anti-trojans)

 

- Téléchargement : http://www.emsisoft.net/fr/software/free/

Il est nécessaire de s enregistrer sur le site pour pouvoir utiliser et avoir les mises a jour du logiciel!

 

-=> ZebProtect

 

http://www.zebulon.fr/articles/zebprotect.php

http://telechargement.zebulon.fr/123.html

[c.junior]

 

A présent, quelques conseils de sécurité : etc...

 

-=> Un vrai pare-feu (pas le joujou offert avec XP)

 

-Kerio

-Zone Alarm

-Sygate Personal Firewall Free

 

tu trouveras ces 3 firewalls gratuits et performants avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0&do=findComment&comment=487252

 

en effet j'ai laissé tombé ZA depuis que je suis passé de Wme à Wxp. Est ce qu'il faut remettre ZA sur XP en laissant le pare feu du sp2 ? Est ce qu'ils peuvent cohabiter et pourquoi l'un est différent de l'autre (meilleur ou moins bon) alors qu'ils sont tous 2 gratuits?

[S.Birkoff]

Bonjour c.junior,

 

Est ce qu'il faut remettre ZA sur XP en laissant le pare feu du sp2 ?

Oui, il est conseillé de remmettre ZA en desactivant le firewall ( si on peut appeler çà un firewall) du sp2.

 

Est ce qu'ils peuvent cohabiter et pourquoi l'un est différent de l'autre (meilleur ou moins bon) alors qu'ils sont tous 2 gratuits?

 

Je ne crois pas qu'ils puissent cohabiter, et de toute façon cela n'a aucun interet. Za est bien meilleur que le Sp2, bien que tous deux soit gratuit. Pourquoi ? Dure à dire, mais disons que ZA est specialisé dans les firewall, tandis que Microsoft fait a peu pres tout ce qui se vend....

 

Il vaut donc mieux que tu installes ZA, en desactivant le firewall du sp2, ta protection en sera meilleur.

 

Bonne journée

Birkoff

Modifié le 20 novembre 2005 par S.Birkoff

[Jack_Burton]

Bonjour c.junior & S.Birkoff

 

c.junior, le parfeu de windows est une belle bouse! Ce pseudo parfeu ne filtre pas les fluxs sortants! Ca veut dire qu il ne bloquera pas l acces a internet a un trojan déja installé sur un systeme!

 

Un "vrai" parfeu doit pouvoir filtrer les fluxs entrants et sortants!!

 

Concernant la cohabitation : la réponse est non! 2 logiciels agissant en temps réel pour la meme chose peut entrainer des incompatibilités (cela vaut pour les antivirus, les anti-mailwares et les parfeu)! De toute façcon, le parfeu livré avec XP est tellement médiocre (j essaye de ne pas etre grossier) qu il est inutile de le conserver!

Modifié le 20 novembre 2005 par Jack_Burton

[c.junior]

ok

 

mais j'ai peur d'autre chose parce que avec un autre pc que celui qui a eu des problèmes (lus plus haut...) je peux me logger et utiliser le forum normalement

 

Avec le pc à problèmes quand je me logge il y a

 

Connecté en tant que : c.junior ( Déconnexion )

 

mais quand je veux poster cela m'amène sur une page avec entre autres choses

 

Bienvenue Invité

 

ou

 

l'Erreur est: Vous n'avez pas l'autorisation de poster sur ce forum (ou quelque chose comme ça...)

 

et me relogger ne sert à rien. J'arrive à poster seulement quand ça réussi du premier coup (et que je viens d'allumer la machine je crois)

 

j'ai un doute

Modifié le 20 novembre 2005 par c.junior