Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

hijackthis

guigui149176620
 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut guigui149176620 :-P

 

J'avais pas vu, mais la précédente recherche avec regsearch sur l'élément "RXToolBar" n'avait pas marché! du coup on ne voit les clés infectées que sur le rapport que tu viens de poster! C'est pas grave , on lui va lui faire la peau :P (le précédent fichier a bien éliminé les mauvaises clés!)

 

Elimine le précedent fichier reg si ce n'est pas fait et crée celui ci=>

 

Étape 1:

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2AB289AE-4B90-4281-B2AE-1F4BB034B647}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{05563F82-69A7-40A6-8670-153B635A7EF6}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{66B20295-DC57-42B6-ACDF-52D916E86464}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7F46B8E6-254D-46B4-999F-B37B5BE7A9F5}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\RXToolBar]

[-HKEY_LOCAL_MACHINE\SOFTWARE\SemanticInsight]

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:kilrx.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: fichierreg7bs.gif

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Supprime les fichiers en gras dans C:\WINDOWS:

 

c:\windows\smdat32m.sys

c:\windows\cdmxtras (dossier?)

 

* Double clique sur le fichier kilrx.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

-Vide la corbeille.

 

Étape 4:

 

*Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

coche la case suivante:"select all"

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 5:

 

Redémarre et relance une dernière recherche avec regsearch sur les même termes(rxtoolbar - need2find - tbon).

Relance un dernier scan chez Panda et poste le rapport stp :-(

Petites question comme sa vous faite quoi dans la vie boulot en rapport avec l'informatique ou pas

oui...ouvrier :P

Lien vers le commentaire
Partager sur d’autres sites

guigui149176620 Member

guigui149176620

Posté(e)
  • Auteur
Posté(e)

panda

 

 

 

Incident Status Location

 

Spyware:spyware/rxtoolbar Not disinfected Windows Registry

 

 

 

 

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.1.0

 

; Results at 12/05/2006 11:10:10 for strings:

; 'rxtoolbar'

; 'need2find'

; 'tbon'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

; End Of The Log...

Lien vers le commentaire
Partager sur d’autres sites
guigui149176620 Member

guigui149176620

Posté(e)
  • Auteur
Posté(e)

Incident Status Location

 

Spyware:spyware/rxtoolbar Not disinfected Windows Registry

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut guigui149176620 :P

 

Ton rapport est clean pour moi! l'alerte que tu reçois concernant Rxtollbar fait très certainement référence à une clé orpheline! le fichier reg + le scan d' Ewido a débarrassé le pc de l'infection :-P

 

Tu as installé Antivir sur le pc,je te conseille fortement de remplacer avantageusement le firewall intégré au SP2 (une passoire) par Zone Alarm par exemple =>

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

Une dernière chose, dans le rapport d'Ewido, je vois ce spyware=> P2P Networking: juste une vérification avec ce logiciel stp=>

 

-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau .

 

Double-clique sur blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Après ca c'est bon :P

Lien vers le commentaire
Partager sur d’autres sites
guigui149176620 Member

guigui149176620

Posté(e)
  • Auteur
Posté(e)

re,

il trouve rien voici quand mem le rapport du fichier fsbl

 

05/14/06 11:56:09 [info]: BlackLight Engine 1.0.36 initialized

05/14/06 11:56:09 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/14/06 11:56:10 [Note]: 7019 4

05/14/06 11:56:10 [Note]: 7005 0

05/14/06 11:56:37 [Note]: 7006 0

05/14/06 11:56:37 [Note]: 7011 1360

05/14/06 11:56:38 [Note]: 7026 0

05/14/06 11:56:38 [Note]: 7026 0

05/14/06 11:56:58 [Note]: FSRAW library version 1.7.1015

05/14/06 12:12:06 [Note]: 7007 0

 

 

Autre probleme saver vous comment je peut virer la backdoor optix pro 13 svp

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut

 

Qui a détecté ce backdoor?c'est pas sur ce pc? les infos disponibles chez Symantec restent vagues(pareil chez Sophos!)

est ce que ce logiciel est installé => http://www.megasecurity.org/trojans/o/opti...tixpro1.31.html

Passe Ewido en sans échec,une fois mis àjour.

 

Je reviens toute à l'heure avec quelques conseils :P

 

edit:si le problème concerne un autre pc, tu peux ouvrir une nouvelle discussion et poster le rapport si tu veux!

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

ok! dans mon message #15 , je te disait ceci=>

Ton rapport est clean pour moi! l'alerte que tu reçois concernant Rxtollbar fait très certainement référence à une clé orpheline! le fichier reg + le scan d' Ewido a débarrassé le pc de l'infection

et c'est vrai!! ceci dit pour finir le nettoyage, bruce lee :P m'a envoyé les clés de registre susceptibles de squatter encore la base de registre : on fait le dernier fichier reg=>

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\clsid\{25d8bacf-3de2-4b48-ae22-d659b8d835b0}]

[-HKEY_CLASSES_ROOT\clsid\{2ab289ae-4b90-4281-b2ae-1f4bb034b647}]

[-HKEY_CLASSES_ROOT\clsid\{59879fa4-4790-461c-a1cc-4ec4de4ca483}]

[-HKEY_CLASSES_ROOT\rxresult.rxresultfilter]

[-HKEY_CLASSES_ROOT\rxresult.rxresultfilter.1] 

[-HKEY_CLASSES_ROOT\rxresult.rxresulttracker]

[-HKEY_CLASSES_ROOT\rxresult.rxresulttracker.1] 

[-HKEY_CLASSES_ROOT\rxtoolbar.tbinfo]

[-HKEY_CLASSES_ROOT\rxtoolbar.tbinfo rx toolbar]

[-HKEY_CLASSES_ROOT\rxtoolbar.tbinfo.1]

[-HKEY_CLASSES_ROOT\rxtoolbar.tbinfo.1 rx toolbar]

[-HKEY_CLASSES_ROOT\typelib\{05563f82-69a7-40a6-8670-153b635a7ef6}]

[-HKEY_CLASSES_ROOT\typelib\{66b20295-dc57-42b6-acdf-52d916e86464}]

[-HKEY_CURRENT_USER\software\rx toolbar]

[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\ toolbar {25d8bacf-3de2-4b48-ae22-d659b8d835b0}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\ {59879fa4-4790-461c-a1cc-4ec4de4ca483}]  

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\ {59879fa4-4790-461c-a1cc-4ec4de4ca483}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\rxtoolbar]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\rxtoolbar publisher]

[-HKEY_LOCAL_MACHINE\software\rtrmin]

[-HKEY_LOCAL_MACHINE\software\rxresults]

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remove.reg

-Dans le champs"Type" en bas de page ,choisis: tous les fichiers

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitter le Bloc Notes. ne clique pas sur le fichier maintenant!

 

* Redémarre en sans échec et lance le fichier remove.reg , accepte les modifications dans la base de registre, et élimine le !

 

* Redémarre normalement, fais un scan chez Panda si tu veux pour voir si cette alerte a disparu =>

Spyware:spyware/rxtoolbar Not disinfected Windows Registry

 

On fini avec quelques conseils de sécurité si tu veux!

 

Les utilitaires que tu peux garder:

 

-Ewido,il est à l'essai 14 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc.

 

-Registry Search de Bobbi Flekman si tu souhaites faire des recherches facilement dans la base de registre.

 

-ATF-Cleaner pour effectuer un nettoyage rapide du pc!

 

Les utilitaires que tu peux éliminer:

 

-Blacklight (de F-Secure)

 

* Je t'avais fais faire ceci pour avoir acces à tous les fichiers =>

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

A présent recache tous ces dossiers pour ne pas en effacer un par erreur!

 

* Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...6?OpenDocument)

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Faites l'opération inverse, et réactivez la restauration:un nouveau point sera automatiquement créé.

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

 

http://gerard.melone.free.fr/IT/IT-AM0.html

 

* D'autres utilitaires et programmes que tu peux installer pour sécuriser ton pc =>

 

=> oublie le parefeu du SP2 qui n'est pas efficace:utilise ZA par exemple qui fonctionne bien avec Antivir:

 

-pour télécharger zone alarm:

http://telechargement.zebulon.fr/58-zonealarm-60-fr.html

-son tutorial:

http://www.zebulon.fr/articles/configurationZA_1.php

 

=> Firefox , un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe:

 

-Téléchargement: http://www.mozilla-europe.org/fr/products/firefox/

-Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE! :

 

=>Télécharge Ie-spyad2 d'Eric L. Howes:

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit=>(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

 

=> ZebProtect (pour sécuriser les ports de ton pc,très simple)

 

-Tutorial:http://www.zebulon.fr/articles/zebprotect.php

-Téléchargement: http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du pc:

 

http://www.pcflank.com/

 

 

=>SpywareBlaster(empêche l'installation de contrôles active x véreux!):

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=>Ad-aware SE un excellent antispyware pour scanner le pc( pour bénéficier de la protection en temsp réel, il faut choisir la version payante)

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=>SpyBot-Search & Destroy(intègre une protection en temps réel apellée Teatimer)

 

http://spybot.safer-networking.de/fr/download/index.html

-l'installer et le configurer comme dans ce lien=>

http://www.zebulon.fr/articles/spybot_1.php

 

Complête le nettoyage d'ATF cleaner avec JV16 (pour nettoyer la base de registre):

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire tres complet : Il integre les fonctions de Regcleaner.Dédié au nettoyage du registre

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

 

-Télécharge jv16 et met le dans un dossier:

http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-son tutorial pour l'utiliser correctement ,ici:

http://www.zebulon.fr/articles/base-de-registre-3.php

 

*Lance JV16

 

- Mets le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Clique sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer".Tu peux virer toutes les entrées en vert.

-Si ca ne fonctionne pas du premier coup,recommence!

 

-Pour finir,il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware:

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens ce sont joint pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaire, peuvent déposer une plainte contre le malware et leurs auteurs.

Plus d'info sur le topic d'ipl_001 ici(merci à Kimberley :P !!)=>

 

http://forum.zebulon.fr/index.php?showtopic=88688

Bon surf :-P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
guigui149176620 Member

guigui149176620

Posté(e)
  • Auteur
Posté(e)

re,

toujour la lol

 

 

Incident Status Location

 

Spyware:spyware/rxtoolbar Not disinfected Windows Registry

Spyware:Cookie/Falkag Not disinfected C:\Documents and Settings\Administrateur\Cookies\[email protected][2].txt

Spyware:Cookie/Serving-sys Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt

Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...