Win32 trojano et gen

[thebear]

Mais c'est tout vu Tornado,

je n'abandonne pas et j'ai terminé la procédure. Je te poste le dernier Hijackthis et te remercie pour ton aide bénéfique...le net a du bon malgré les infections. S'il reste d'autre trucs à appliquer, je le ferai sans hésitation et peux importe le temps que ça prendra, nous atteindrons le but.

Je sais que tu as passé pas mal de temps sur mon dossier, aussi si je peux t'être d'une quelconque aide je le ferai avec grand plaisir ( mais trouve un autre sujet que l'informatique tu t'es rendu compte que c'est pas trop mon truc).

Merci

a très bientôt

The BEAR ++++

 

Logfile of HijackThis v1.99.1

Scan saved at 08:17:29, on 29/04/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe

C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\avciman.exe

C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program files\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

[thebear]

Salut,

 

J'ai lu avec beaucoup d'intérêt l'ensemble de tes conseils...j'ai beaucoup appris, sur les comportements insécuritaires sur le net...et je te remercie. Néanmoins il faut éviter de mettre tout le monde dan le même sac, je te cite: "je lisais le post d'un membre infecté tout à l'heure qui pleurait d'être infecté...je supose que ce membre ne pleurait pas pour télécharger la derniere version d'émule pour avoir un peu de musique gratuite, etc..on dirait que ces membres quand on les écoute, qu'il n'ont pas de chance, ils choppent toujours des cochonneries"

Pour ma part, j'ai récupéré l'utilisation exclusive d'un ordinateur familial, squatté en permanence par 4 autres membres de la tribu...les sites que tu cites ne m'intéresse pas, le téléchargement je sais pas faire et je veux pas faire, les seuls logiciels que j'ai installés sont ceux prescrits par SUPER TORNADO...quand je m'appercois que mon ordinateur met une plombe à ouvrir un fichier, je contacte un informaticien de ma ville, qui gentiment me dit de consulter les experts de ZEBULON avant de faire passer un technicien...alors c'est ce que j'ai fait et une fois de plus merci pour votre diligence et votre intérêt.

Comme je l'ai fait pour les autres membres et en dépit de mon novicia en tant qu'internaute je suis prêt à te renvoyer l'ascenceur en cas de besoin...Il existe quelques domaines où moi aussi je suis reconnu, et comme toi, possède une courre d'admirateurs.

 

ENCORE MERCI

THE BEAR

[tornado]

Salut the bear,

 

 

 

J'ai lu avec beaucoup d'intérêt l'ensemble de tes conseils...j'ai beaucoup appris, sur les comportements insécuritaires sur le net...et je te remercie. Néanmoins il faut éviter de mettre tout le monde dan le même sac, je te cite: "je lisais le post d'un membre infecté tout à l'heure qui pleurait d'être infecté...je supose que ce membre ne pleurait pas pour télécharger la derniere version d'émule pour avoir un peu de musique gratuite, etc..on dirait que ces membres quand on les écoute, qu'il n'ont pas de chance, ils choppent toujours des cochonneries"

 

Ne sois pas sur la défensive... je ne te mets dans le même sac que les autres. L'utilisation d'un pc peut se voir à travers un log ... mais sur le tien, je ne vois ni de emule etc...

Je soupçonne tes infections par le fait que tu n'ais pas un système à jour, pas de SP2!

Il faudra penser à l'installer quand on aura terminer la désinfection (je te le rappellerais)

 

 

Pour ma part, j'ai récupéré l'utilisation exclusive d'un ordinateur familial, squatté en permanence par 4 autres membres de la tribu...les sites que tu cites ne m'intéresse pas, le téléchargement je sais pas faire et je veux pas faire, les seuls logiciels que j'ai installés sont ceux prescrits par SUPER TORNADO...quand je m'appercois que mon ordinateur met une plombe à ouvrir un fichier, je contacte un informaticien de ma ville, qui gentiment me dit de consulter les experts de ZEBULON avant de faire passer un technicien...alors c'est ce que j'ai fait et une fois de plus merci pour votre diligence et votre intérêt.

 

Là je comprends pas trop ta réaction Dois-je le prendre au second degré ? ...

D'accord, pour les 2 derniers liens, concernant les conséquences du p2p et des cracks, mais la première page est tout à fait valable pour ton cas.

Enfin, je vais pas m'étendre dessus ... après tout, je suis là pour désinfecter ton pc

 

 

 

 

Bon, revenons à nos moutons

 

 

Ton dernier log hijackthis est propre, beau boulot

 

On va quand même vérifier si d'autres bestioles ne traînent pas sur ton pc, en faisant le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

 

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

 

 

Le tuto si tu bloques sur quelque chose --> http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

 

 

 

 

A+

[thebear]

Cher tornado,

 

ma réponse était dédiée à Tesgaz...ce qui démontre, comme tu peux le constater, mon niveau de netsurfer...bien entendu, rien dans cette réponse ne te concernait et j'essayais simplement d'expliquer à notre ami TESGAZ que certaines requêtes sont parfois de réels SOS...je faisais référence à son dernier message et au forum auquel il renvoie.

 

Une fois de plus cher SUPER TORNADO (parceque maintenaint c'est comme que je t'appelle ) UN ENORME MERCI...j'appliquerai à la fin du week end tes dferniers conseils et je te poste les rapports en question.

 

Du fond du coeur MERCI

 

The bear

[thebear]

Salut SUPERTORNADO,

Voilà le rapport du scan panda en ligne...vu ta taille et la clareté je te joins un rapport de panda, installé sur mon pc.

 

MERCI

A+

The bear

 

panda en ligne

Incident

Statut Analyse

Virus Eventuel.

panda installé

 

Ne détecte que 4 spywares qui ont été effacés avec succès

[tornado]

Salut the bear,

 

 

panda en ligne

Incident

Statut Analyse

Virus Eventuel.

 

panda installé

 

 

Donc rien à signalé (je suppose que le virus éventuel est Attcleaner... mais panda se trompe sur ce coup là )

 

 

As-tu toujours des disfonctionnements avec ton pc ?

 

 

 

A+

[thebear]

Salut SUPERTORNADO

 

Apparemment, RAS selon panda et pas de problème de dysfonctionnement du PC...

Par contre j'aimerai vraiment me protéger sur le long terme...peux tu me conseiller antivirus et firewall tip- top, même payants...bien entendu si pôssibilité gratuit...that is préférable!

 

Merci

The bear

 

PS: je mets à jour mon windows

[tornado]

Re thebear,

 

 

Apparemment, RAS selon panda et pas de problème de dysfonctionnement du PC...

 

Ok! c'est parfait

 

 

Avant de parler de sécurisation (pare-feu + antivirus + autres utilitaire de sécu), on va remettre en place certaines choses sur ton système :

 

 

Je t'avais fait faire ceci pour avoir accès à tous les fichiers =>

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

A présent, recache tous ces dossiers pour ne pas en effacer un par erreur !

 

 

 

- Ensuite, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php

 

 

 

 

 

Quand cela sera fait , on commencer à sécuriser ton système:

- Par l'installation + la configuration d'un vrai Firewall (plus important que l'av)

- Par l'installation + la configuration d'un antivirus

 

 

 

 

1/ Commence par désinstaller Panda Titanium (Antivirus et firewall compris) via "ajouter/supprimer des programmes" (panneau de configuration)

Un redémarrage sera sûrement nécessaire...

 

 

 

2/ Deux choix de Firewall simples à configurer, gratuits et efficaces se portent à toi :

 

- Kerio

 

- Pour le télécharger, c'est ici --> http://www.sunbelt-software.com/Kerio.cfm

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

 

- Zonealarm

 

- Pour le télécharger, c'est ici --> http://download.zonelabs.com/bin/free/3301..._744_001_fr.exe

- Tu peux t'aider de ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto1

Et le paramétrer également selon cet autre tuto --> http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

 

 

Tu retrouves sur cette page la description de ces 2 logiciels, ainsi que 2 autres Firewalls gratuits, mais un peu plus compliqués d'utilisation --> http://benoit.aun.free.fr/securite-facile-php/firewall.php

 

Je t'invite à parcourir tout le site, qui est vraiment bien fait

 

 

Après l'installation d'un de ces deux firewalls, un redémarrage est nécessaire (ça te sera demandé).

 

 

 

 

3/ Passons maintenant aux différents antivirus...

 

Il en existe 2 gratuits et dont l'efficacité est reconnue. Chacun d'entre eux s'associe plus ou moins bien avec firewall que tu as installé précédemment :

 

 

* Si tu as choisis Zonealarm, je te conseille de te tourner vers Antivir

 

- Pour le télécharger, c'est ici --> http://www.free-av.com/antivirus/allinonen.html

- Paramètre-le selon ce tutorial --> http://speedweb1.free.fr/frames2.php?page=tuto5

 

 

* Si tu as choisis Kerio, je te conseille de te tourner vers Avast!

 

- Pour le télécharger, c'est ici --> http://www.avast.com/eng/download-avast-home.html (choisis la version French )

- Paramètre-le selon ce tutorial --> http://www.pcentraide.com/lofiversion/index.php/t120.html

 

NB: Pour pouvoir utiliser le logiciel, tu dois t'enregsitrer depuis cette page --> http://www.avast.com/i_kat_207.php?lang=ENG (c'est gratuit)

 

Tu recevras par mail la clé du logiciel, que tu pourras rentrer au démarrage d'avast. Tu devras renouveler cette clé une fois par an.

 

 

Pour plus d'infos sur ces antivirus, ren-toi sur cette page --> http://benoit.aun.free.fr/securite-facile-php/antivirus.php

 

 

 

Comme pour les firewalls, un redémarrage sera demandé ...

 

 

 

 

J'attend que tu ais fait tout ça ( ) avant de poursuivre la sécurisation de ton système.

Pense à poster un nouveau rapport Hijackthis après désinstallation de panda, et installation des nouveaux softs, pour vérifier si tout s'est correctement déroulé.

 

 

 

 

Bon courage

 

 

 

A+

[thebear]

SALUT SUPERTORNADO,

 

J'ai bien exécuté tes conseils et je te remercie pour leur qualité...je te joins les rapports réalisés ce soir

Merci pour tout, je reste à dispo!

A+

The bear

 

ps: pendant que je t'écris le garde de ZA travaille dure dure, il a déjà bloqué 5 attaques...est-ce normal?

Merci.

 

 

Rapport avant scan antivir

Logfile of HijackThis v1.99.1

Scan saved at 19:25:47, on 05/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Rapport Antivir

AntiVir PersonalEdition Classic

Report file date: vendredi 5 mai 2006 19:32

 

 

Jobname: 'Manual Selection'

 

Scanning for 370940 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: fabrice

Computer name: FAB

 

Version informations:

AVSCAN.EXE : 7.0.0.35 540712 21/04/2006 12:47:04

AVSCAN.DLL : 7.0.0.34 41000 05/04/2006 11:03:57

LUKE.DLL : 7.0.0.34 114728 05/04/2006 11:03:58

LUKERES.DLL : 7.0.0.34 25640 05/04/2006 11:03:58

ANTIVIR0.VDF : 6.32.0.60 4323840 02/05/2006 08:29:08

ANTIVIR1.VDF : 6.34.0.209 1930240 02/05/2006 08:29:09

ANTIVIR2.VDF : 6.34.1.1 89600 01/05/2006 17:17:55

ANTIVIR3.VDF : 6.34.1.26 48128 01/05/2006 17:17:55

AVEWIN32.DLL : 7.0.0.8 1171968 21/04/2006 15:40:14

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00

AVREP.DLL : 6.34.1.20 2371624 01/05/2006 17:17:56

AVPACK32.DLL : 7.0.0.4 335912 29/03/2006 09:44:25

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49

 

 

Start of the scan: vendredi 5 mai 2006 19:32

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

 

Starting to scan the registry.

 

The registry was scanned ( 15 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\fabrice\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\fabrice\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\fabrice\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\fabrice\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

 

 

End of the scan: vendredi 5 mai 2006 20:00

Used time: 28:10 min

 

The scan has been done completely.

 

1784 Scanning directories

60678 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

531 Archives were scanned

15 Warnings

1 Notes

 

Dernier hijack

Logfile of HijackThis v1.99.1

Scan saved at 20:02:35, on 05/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[tornado]

Re thebear,

 

 

Rien à signaler sur ton nouveau log, tu as bien travaillé

 

Seulement, pour être vraiment en sécurité :

Logfile of HijackThis v1.99.1

Scan saved at 19:25:47, on 05/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Il faut impérativement que tu fasses les mises à jour de Windows. Un certain nombre de pirates exploitent les failles de sécurité non corrigées pour infecter ton système.

Il te manque donc le SP2 et certaines mises à jour qui l'accompagnent.

 

Pour te mettre à jour, rend toi sur ce site (avec Internet Explorer) --> http://v4.windowsupdate.microsoft.com/fr/default.asp

 

 

 

Une fois les mises à jour effectuées, tu pourras lire et appliquer les conseils de sécurité suivants, afin de ne pas être infecté à l'avenir :

 

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

 

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe :

 

- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/

- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE ! :

 

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)

Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)

http://www.spywarewarrior.com/uiuc/resource.htm

 

=> ZebProtect (pour sécuriser les ports de ton PC, très simple)

 

- Tutorial : http://www.zebulon.fr/articles/zebprotect.php

- Téléchargement : http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du PC :

 

http://www.pcflank.com/

 

 

=> SpywareBlaster :

 

http://www.javacoolsoftware.com/downloads.html

Son tuto :

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=> Ad-Aware SE de Lavasoft

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=> SpyBot-Search & Destroy de Patrick Kolla

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=> Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre :

http://www.diamondcs.com.au/index.php?page=regprot

 

=> Ewido : http://download.ewido.net/ewido-setup.exe

c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente)

mais il reste efficace ! Mets le à jour avant de scanner ton PC.

 

2)- Les utilitaires pour nettoyer le PC :

 

=> Clean Up 40 :

http://www.stevengould.org/software/cleanup/

- Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées :

 

* Empty Recycle Bin

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan (cleanup)

 

- aide en image : (merci à Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

=> EasyCleaner de Toni Helenius (installe le dans son dossier)

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose.

 

http://personal.inet.fi/business/toniarts/ecleane.htm

Tutorial :

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

=> RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks").

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

- Téléchargement : http://www.hoverdesk.net/freeware.htm

 

- Tutorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner.

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

- Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

 

- Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

PS : Même si la possibilité de sécuriser IE est proposée, je te recommande cependant d'essayer Firefox, qui est beaucoup plus sécurisé... (n'intègre pas les activex souvent infectieux)

 

 

 

ps: pendant que je t'écris le garde de ZA travaille dure dure, il a déjà bloqué 5 attaques...est-ce normal? icon_confused.gif

 

Essaie de fermer les ports critiques avec Zebprotect (voir conseils ci dessus)

 

Puis fais un test de tes ports à a partir de cette page --> http://www.zebulon.fr/outils/scanports/test-securite.php

 

Indique moi le résultat ...

 

 

 

 

A+