infection trojan horse

[aile74]

Et encore une fois, je présente mes excuses. En disant, infini à fermer, je voulais parler du PC. Pas de Ewido. En utilisant Ewido, Spybot et Avast, je crois avoir bien nettoyé l'ensemble du système.

Je reconnais avoir les idées qui parlent plus vite que mes doigts sur le clavier et une fois de plus j'en demande pardon.

Ceci étant je ne sais toujours pas pourquoi mon PC est si long à fermer. J'ai le temps de faire la vaisselle avant de pouvoir fermer Window et de l'essuyer, ranger avant de pousser l'interruteur général.

C'est d'ailleurs ce qui m'avait poussé à scanner les disques durs et ainsi me faire découvrir la présence du trojan. Je sais que ce n'est que gênant, mais c'est ...gênant!

[Thanos]

salut aile74

 

Pas de souci , on est là pour t'aider Par contre, stp, le rapport d'Ewido !!est ce que tu as fait le scan

 

kaspersky?

 

Si ton pc est si long à s'arrêter, c'est certainement qu'une application a du mal à se fermer (à la fermeture

 

de windows).On peut tenter de fixer certaines lignes inutiles sur ton rapport hijackthis, et de voir dans un

 

premier temps si ca améliore quelque chose.

 

Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - Startup: Enregistrement de Lotus SmartSuite 97.lnk = C:\lotus\register\remind32.exe

O4 - Startup: Lotus SmartCenter 97.lnk = C:\lotus\smartctr\smartctr.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

-Ferme tous les programmes et clique sur "Fix Checked"

 

Commence déjà par faire ca, et reviens poster les rapports demandés

[aile74]

Merci pour ta patience . J'ai exécuté les manoeuvres que tu m'as indiqué et ça me semble efficace. Je te reconfirmerai encore demain. Pour Ewido, je te joins le dernier rapport. Pas grand chose mais quand même. Il y a peut-être un truc bizarre que je ne connais pas.

Maintenant j'ai bien téléchargé Kaspersky pour un scan en ligne mais ça ne donne rien, vu que quand je clique sur télécharger Active X, Kps s'arrête.

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 11:46:57, 15/02/2006

+ Somme de contrôle: 4DFAE13B

 

+ Résultats du scan:

 

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

 

 

::Fin du rapport

[Thanos]

salut aile74

 

Tres bien, Ewido ne montre rien d'infectieux! Pour ce qui est des scans en ligne, assure toi par les options de ton antivirus et firewall que les contrôles active x sont bien autorisés!N'oublie pas qu'il faut utiliser IE pour pouvoir faire ces scans (pas Firefox!).Regarde aussi dans les options du navigateur.

[aile74]

Salut Charles,

Si j'ai attendu un peu pour te répondre, c'est que j'ai fait plusieurs tentatives de fermeture du PC. Il semble que la durée d'utilisation intervienne dans le laps de temps de fermeture. Si je fais un essai tout de suite après l'ouverture ou le redémarrage, la fermeture est rapide. Par contre, si mon fils fait un jeu entre temps, ( genre GL TRON téléchargé ) la fermeture s'éternise - entre 4 et 5 minutes.

 

 

En tout état de cause, j'ai ematqué qu'à chaque scan de Spybot ou Ewido, je retrouve le problème

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

 

Peut-être est-ce la clé de mon souci?

 

Je te joins le dernier rapport d'Ewido ou tu verras le-dit problème

---------------------------------------------------------

ewido anti-malware - Rapport de scan

---------------------------------------------------------

 

+ Créé le: 19:37:31, 17/02/2006

+ Somme de contrôle: 7ED08ABD

 

+ Résultats du scan:

 

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@advertising[1].txt -> TrackingCookie.Advertising : Nettoyer et sauvegarder

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

 

 

::Fin du rapport

 

Merci encore pour ta patience.

[Thanos]

salut aile74

 

En tout état de cause, j'ai ematqué qu'à chaque scan de Spybot ou Ewido, je retrouve le problème

C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder

 

Peut-être est-ce la clé de mon souci?

Non, ce fichier détecté par Ewido n'est pas une infection, c'est un cookie traceur et tout le monde en chope en surfant sur internet!

 

si mon fils fait un jeu entre temps, ( genre GL TRON téléchargé ) la fermeture s'éternise - entre 4 et 5 minutes.

Comme je te dis, il est fort possible qu'une application ait du mal à se fermer! La technique pour connaitre le responsable, c'est de passer par le Gestionnaire de tâches( CTRL+ALT+SUPP) et de terminer explorer.exe =>le bureau disparait, puis il faut terminer les processus un par un sauf les processus système(smss.exe -

winlogon.exe- csrss.exe - services.exe - lsass.exe - svchost etc...) Celui qui aura du mal à se fermer sera le responsable de cette fermeture ralentie!

 

Sinon il y a une astuce décrite sur Zeb qui consiste à modifier une clé du registre pour que la fermeture se fasse plus vite=>

 

http://www.zebulon.fr/astuces/tip31/Reduir...de-Windows.html

 

Par ailleurs pour optimiser le pc, les potes du forum ont développé un logiciel bien utile qui s'apelle ZebUtility =>

téléchargement=> http://telechargement.zebulon.fr/204-zeb-utility-12.html

son tutorial=> http://www.zebulon.fr/articles/zebutility.php

 

Est ce que ce problème intervient uniquement apres l'utilisation de ce jeu?

 

Peut tu tenter de faire un scan =>

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

[aile74]

Salut Charles

Je viens de procéder à la fermeture du PC manuellement. Et j'ai contaté 2 choses.

 

1) Dans le série des processus Compaq Propiétaire; celui qui ne veut pas fermer immédiatement comme les autres est: taskmgr.exe

 

2) Dans la série Service réseau, j'ai trouvé 2 processus svtchost.ex. le premier a fermé tout de suite, mais le second, de3952Ko, m'a amené à un avertissement de fermeture avec le message suivant "Windows doit redémarrer car le service Appel de Procédure Distante (RPS) s'est terminé de façon inattendu".

 

Si le premier processus est la cause de mon souci, que dois-je en faire?

 

et pour le second, est-ce que c'est grave docteur??

 

Ceci dit, j'ai voulu effectuer le scan en ligne avec panda, mais au bout de quelques minutes, Avast m'a informé d'un logiciel malveillant "Win32:CTX" comportant un virus de type ver. J'ai donc stoppé le scan.

 

Ai-je bien fait?

 

Merci pour ton aide précieuse.

[Thanos]

bonjour aile74

 

1) Dans le série des processus Compaq Propiétaire; celui qui ne veut pas fermer immédiatement comme les autres est: taskmgr.exe

 

Bizarre... taskmgr ,c'est le gestionnaire des tâches!!comme il n'est pas lancé automatiquement(c'est toi qui le lance) il ne peut pas être responsable je pense!

 

2) Dans la série Service réseau, j'ai trouvé 2 processus svtchost.ex. le premier a fermé tout de suite, mais le second, de3952Ko, m'a amené à un avertissement de fermeture avec le message suivant "Windows doit redémarrer car le service Appel de Procédure Distante (RPS) s'est terminé de façon inattendu".

 

Sois précis, il s'agit de svchost et pas svtchost.ex.?? Attention à ne surtout pas terminer les processus système sous peine de plantage!! Ce que je te disait dans mon précédent message=>

puis il faut terminer les processus un par un sauf les processus système(smss.exe -

winlogon.exe- csrss.exe - services.exe - lsass.exe - svchost etc...)

 

Le processus que tu as tenté de terminer (svchost.exe) est lié à un service tres important: Appel de procédure distante (RPC) Pour plus d'infos sur les services windows et les processus qui y sont liés, lit cet article tres instructif => http://www.zebulon.fr/articles/services_1.php

Surtout ne touche pas aux processus système!

 

Ceci dit, j'ai voulu effectuer le scan en ligne avec panda, mais au bout de quelques minutes, Avast m'a informé d'un logiciel malveillant "Win32:CTX" comportant un virus de type ver. J'ai donc stoppé le scan.

Désolé!! Avast détecte le contrôle active x de Panda comme un malware... Essaie de télécharger le fichier en question en désactivant le bouclier d'Avast le temps du scan("Win32:CTX" est un faux positif!!). Ou essaie celui ci => -trendmicro:

http://housecall.trendmicro.com/hous...start_corp.asp

[aile74]

Cher ami,

Grâce à toi, mon PC a retrouvé ses vertus.Le problème du trojan n'existe plus et la fermeture est redevenue aussi logique. Très efficace donc.

Merci mille fois encore. Pas de souci, je saurai conseillé les copains qui sont dans la misère en les orientant sur le site Zeb.

[Thanos]

salut aile74

 

Content que ton pc fonctionne comme il faut

 

Donc pour finir,quelques conseils de sécurité pour surfer en paix

 

-Nettoie ton pc avec Easy cleaner Registre et Inutiles.Ne pas toucher à la fonction doublons pour virer ce qui reste(utilise le de temps en temps pour nettoyer le pc surtout apres désinstallation de programmes).

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

 

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)-Voici les utilitaires et programmes que tu peux installer pour sécuriser ton pc:

 

=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

-=> E-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

https://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD

 

 

=> ZebProtect (pour sécuriser les ports de ton pc,tres simple)

 

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du pc:

 

http://www.pcflank.com/

 

 

=>SpywareBlaster:

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=>Ad-awareSE

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=>SpyBot-Search & Destroy

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=>Regprot(petit utilitaire tres léger:144ko!)pour protéger ta base de registre:

http://www.diamondcs.com.au/index.php?page=regprot

 

=>Ewido:ici

c'est une version d'essai,qui perd certaines fonctions payantes,(pas de protection résidente)

mais il reste efficace!Met le à jour avant de scanner ton pc.

 

2)-Les utiltaires pour nettoyer le pc:

 

=> Clean Up 40:

http://www.stevengould.org/software/cleanup/

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

=>EasyCleaner de Toni Helenius(installe le dans son dossier)

Utiliser uniquement les fonctions "Registre" et "Inutiles".Ne pas toucher à la fonction doublons. Supprime tout ce qu'il propose.

 

Tutorial:

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

=> Regseeker : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'appliquer de nombreux paramètres Windows.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Téléchargement : http://www.hoverdesk.net/freeware.htm

 

-Turorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools : Utilitaire tres complet : Il integre les fonctions de Regcleaner.

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

 

Conserve Ewido,il est à l'essai 14 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc.

 

Bon surf