Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonjour,

 

Je scanne mon ordi avec PestPatrol et voila ce qu'il trouve.

Je ne comprend pas , j'ai plusieurs logiciel de sécurité , je ne surf que sur des sites clean mais je me fait infecter.

Au niveau protection, je possède:

- Norton AntiVirus 2006

- Spybot

 

- ZoneAlarm free

 

- CCleaner

- RegCleaner

- ClearProg.exe

- KillBox

 

+ AntiVirus en ligne PestPatrol

 

 

Vous trouverez ci -dessous le log PestPatrol ainsi que celui d'HijackThis fait en mode sans échec. Pour info ma page de démarrage est configurée "about blank".

 

LOG PESTPATROL:

NavExcel Search Hijacker

Search Hijacker "NavExcel" found in:

• key "hkey_current_user \software\microsoft\windows\currentversion\ext\stats\{b45ff030-4447-11d2-85de-00c04fa35c89}"

More Info

 

 

Trojan.Win32.Dialer.hc Dialer

Dialer "Trojan.Win32.Dialer.hc" found in:

• key "hkey_current_user \software\microsoft\windows\currentversion\internet settings\zonemap\domains\sgrunt.biz"

More Info

 

 

DomainSponsor.com Tracking Cookie

Tracking Cookie "DomainSponsor.com" found in:

• Cookie "mary@landing.domainsponsor[1].txt" File "C:\Documents and Settings\mary\Cookies\mary@landing.domainsponsor[1].txt"

More Info

 

 

Revenue.net Tracking Cookie

Tracking Cookie "Revenue.net" found in:

• Cookie "mary@revenue[2].txt" File "C:\Documents and Settings\mary\Cookies\mary@revenue[2].txt"

 

LOG HIJACKTHIS:

 

Logfile of HijackThis v1.99.1

Scan saved at 00:53:08, on 10/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ANTI VIRUS\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANTIVI~1\Spybot\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\ANTI VIRUS\SpoofStick\SpoofStickBHO.dll

O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\ANTI VIRUS\SpoofStick\SpoofStick.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [startup Manager Scanner] C:\Program Files\Startup Mechanic\StartupMonitor.exe

O4 - HKLM\..\Run: [RegProt] c:\anti virus\regprot\regprot.exe /start

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1122201394437

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Merci d'avance pour votre aide.

 

A+

Christob

Posté(e) (modifié)

Salut,

 

Ton rapport est propre!

 

Tu peux néanmoins fixer ces lignes :

 

R3 - Default URLSearchHook is missing

 

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1122201394437

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

 

 

Concernant les résulats de Pestpatrol, 2 concernant des cookies donc rien d infectueux!

 

Pour les 2 autres, c est plus délicat!

Je vais te faire scanner ton systeme avec Ewido!

Télécharge la version d'essai d'Ewido ici :

 

http://www.ewido.net/fr/

 

et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu").

 

Démarrer ewido. Cliquer sur mise à jour, attendre la fin de cette mise à jour puis, fermer le programme.

 

Lorsque vous étes passé en mode sans échec, relancer Ewido et cliquer sur scanner puis sur scan complet du système.

 

Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée).

 

A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

Modifié par Jack_Burton
Posté(e) (modifié)

Bonjour Jack Burton,

 

J'ai fait tout ce que tu m'as dit.

 

J'ai fixé toutes les lignes + la 08 en mode sans échec.

J'ai scanné avec Ewido, mais il n'a rien trouvé.

 

Que dois je faire ?

Puis je supprimer les clés manuellement directement dans le registre ?

 

Pour info, il y a quelques jours, Je voulant télécharger seulement Startup Mechanic , à ma grande surprise Foxie FireWall et toutes ses options sont venue en même temps.

J'ai scanné mon computer avec Foxie pour voir et il a trouvé un Trojan Qu'il a supprimé (j'espère)dans:

HKEY_current_user\software\microsoft\internet explorer\urlsear chhooks\{cfbfae-17a6-11d0-99cb-00c04d.....

J'ai tout de même désinstallé Foxie.

 

 

En attendant tes instructions, je te remerçie pour ton aide.

 

A+

Christob

Modifié par Christob
Posté(e)

Salut,

 

Vous trouverez ci -dessous le log PestPatrol ainsi que celui d'HijackThis fait en mode sans échec. Pour info ma page de démarrage est configurée "about blank".

 

LOG PESTPATROL:

NavExcel Search Hijacker

Search Hijacker "NavExcel" found in:

• key "hkey_current_user \software\microsoft\windows\currentversion\ext\stats\{b45ff030-4447-11d2-85de-00c04fa35c89}"

More Info

 

 

Trojan.Win32.Dialer.hc Dialer

Dialer "Trojan.Win32.Dialer.hc" found in:

• key "hkey_current_user \software\microsoft\windows\currentversion\internet settings\zonemap\domains\sgrunt.biz"

More Info

Ce sont de fausses alertes de Pest Patrol!!

 

J ai également ces lignes dans la base de registre!!!

Pest Patrol est un logiciel tres pointilleux! Les fausses alertes ne sont pas rares avec lui!!

 

Tu peux toujours faire ceci :

 

Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

 

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Posté(e)

Bonjour,

Merci pour ton aide.

 

J'ai scanné, eScan Antivirus Toolkit n'a trouvé aucun virus sauf 2 erreurs sans autres précisions.

Aucun contenu dans le Virus Log Information.

 

Internet se met au repos quand je veux allé scanner en ligne sur certain site comme PestPatrol ou Securiser.com.

Les Actives X que j'avais pour PestPatrol et Windows Update ont disparu (Spybot/outils/activeX).

 

 

Mon Norton AntiVirus s' agite dès le démarage.

Category: Alerts

Date,Message,Details

12/12/2005 23:37:25,"Rule ""Default Block Bla Trojan horse"" blocked (YOUR-D93E6DOQK7(210.214.216.107),1042).","Rule ""Default Block Bla Trojan horse"" blocked (YOUR-D93E6DOQK7(210.214.216.107),1042). Inbound UDP packet. Local address,service is (localhost,1042). Remote address,service is (YOUR-D93E6DOQK7(210.214.216.107),1042). Process name is ""N/A""."

 

12/12/2005 14:18:24,"Rule ""Default Block NetBus Trojan horse"" blocked (220.226.39.82,NetBus(12345)).","Rule ""Default Block NetBus Trojan horse"" blocked (220.226.39.82,NetBus(12345)). Inbound TCP connection. Local address,service is (220.226.68.248,NetBus(12345)). Remote address,service is (220.226.39.82,2446). Process name is ""N/A""."

 

11/12/2005 13:02:47,Rule "Default Block TransScout" blocked communication.,"Rule ""Default Block

TransScout"" blocked communication. Local address: All local network adapters(2002). Process name is ""C:\Program Files\WinPcap\rpcapd.exe""."

 

Je suis sûr qu'il y a quelque chose d'anormal.

 

A+

Christob

Posté(e)

Bonjour cristob, bonjour à tous :P . Essaie de voir avec CurrPorts ce qui

entre et sort de ton PC (ports ouverts et applications qui les utilisent - dans

Options tu choisis afficher les connexions établies et tu vérifies qu'il n'y a

pas d'applications douteuses qui utilisent un ou plusieurs ports).

 

CurrPorts

Posté(e) (modifié)

Bonjour et merci à tous.

 

J'ai installé CurrPorts. Aucun port (27) n'ai souligné en rose.Tout de même quelques processus inconnus.

 

Au niveau Norton, je prends note de vos conseils.

Difficile d'avoir un autre antiVirus où j'habite(un trou paumé en Inde)

Acheter un antiVirus en ligne peut présenter des dangers(Piratage de N°de carte Bancaire)

Un gratuit, j'en ai essayer plein mais il ne sont jamais complet.

 

J'ai actuellement comme protection:

 

Norton AntiVirus 2006 (j'ai compris)

- Spybot

- A2

- ZoneAlarm free avec un bug au niveau du TeaTimer

- RegistryProt

- StartUp Mechanic

- CCleaner

- RegCleaner

- ClearProg.exe

- KillBox

Je dois être complétement parano.

 

Dois je désinstaller Norton ou puis je seulement le désactiver pour utiliser Avast ?

 

Je pose beaucoup de questions sur les forums pour comprendre au maximum comment sécuriser ou optimiser mon computer sans faire de dégas. Je ne peux pas me permettre de faire une erreur grave.

Mon computer est un de mes outils de travail très important. En Inde, à priori la sécurité informatique n'est pas très developpé.Le formatage est bien souvent une de leurs solutions favorites.

 

En tous les cas, merci encore pour vos conseils.

 

A+

Christob

Modifié par Christob
Posté(e)

Bonjour,

 

Merci pour le eScan Antivirus Toolkit.

 

Donc à priori PestPatrol m'avait donné de fausse alertes.

 

Par Précaution, puis je supprimer {cfbfae-17a6-11d0-99cb-00c04d.... que Foxie avait repéré comme infecté par un trojan dans

HKEY_current_user\software\microsoft\internet explorer\urlsear chhooks\{cfbfae-17a6-11d0-99cb-00c04d...

 

 

Au sujet de ces 2 lignes dans le log HijackThis.

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

Je crois que R1 & R0 font référence à la page de démarrage d'internet .

Ma page de démarrage est configurée "about blank" et de plus je n'utilise pas Outlook Express mais Outlook.

Est ce normal d'avoir ces 2 lignes ?

 

La ligne:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

que j'avais fixée auparavant est revenu.Je l'ai de nouveau fixé.

 

A+

Christob

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...