demande analyse hijack

[tornado]

Re,

 

 

 

Ton rapport hijackthis est propre, beau boulot

 

Et Ewido a bien travaillé .

 

A propos de ce qu'il a trouvé, je suppose que ce n'est pas toi qui a installé ce programme --> NavExcel Search Toolbar

 

Ce genre de barre de recherche est plus un adware qu'autre chose, il faut que tu la désinstalles via "ajouter/supprimer des programmes".

 

Ensuite, tu supprime le dossier C:\Program Files\NavExcel Search Toolbar

 

Et tu nettoie ton registre avec Jv16 (c'est rapide à faire )

 

 

 

Quand tu auras fait ça, on va vérifier si il n'y a pas d'autres bestioles qui traînent, en faisant le scan en ligne de panda --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (fonctionne sous IE)

 

- Met une adresse mail valide (ou crée une adresse jetable --> http://www.jetable.org/fr/index )

- Installe l'activex

- Suis les instructions

- Choisis un scan "Disques locaux"

- A la fin du scan, clique sur "sauver le rapport"

- Copie le rapport du scan et met-le dans ton prochain post

 

 

Le tuto si tu bloques sur quelque chose --> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

 

 

A+

Modifié le 14 mai 2006 par tornado

[j-an]

voici le rapport de Mr Panda

 

 

 

Incident Statut Analyse

 

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\User1\Bureau\sécurité\SmitfraudFix\Process.exe

Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\User1\Cookies\user1@247realmedia[1].txt

Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\User1\Cookies\user1@adtech[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\User1\Cookies\user1@bluestreak[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\User1\Cookies\user1@weborama[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\User1\Cookies\user1@xiti[1].txt

Modifié le 14 mai 2006 par j-an

[j-an]

je me demandais si c'était normal que mon antivirus et mon par-feu laisse passer ce genre "d'attaques" ? ( j'ai Mc affee et le pare feu windows...

[Thanos]

salut j-an , tornado

 

Dans le soucis de te tranquilliser, sâches que le rapport de Panda est clean

L'alerte concernant Process.exe (intégré dans Smitfraudfix) est habituelle!

il est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

 

Autre chose, il va falloir se passer du pseudo parefeu intégré à Windows SP2! il ne filtre pas les flux sortant du pc... tornado te conseillera là dessus: je vous laisse

Modifié le 14 mai 2006 par charles ingals

[j-an]

ok merci charles je reviendrai demain

[tornado]

Re j-an, salut Charles,

 

 

Le rapport de panda est clean, comme te l'a dit Charles, pense juste à te débarrasser de smitfraud, pour les raison évoquées par charles :

 

C:\Documents and Settings\User1\Bureau\sécurité\SmitfraudFix => supprime ce dossier

 

 

 

As-tu toujours des disfonctionnements ?

 

Même si ce n'est plus le cas, tu vas scanner ton pc avec Blacklight, un détecteur de malware cachés ou rootkits (simple précaution) :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

 

On pourra ensuite sécuriser ton système, notamment par l'installation d'un "vrai" pare-feu. Je te préciserais ce que tu devras faire

 

 

A+

[j-an]

05/15/06 18:46:44 [info]: BlackLight Engine 1.0.36 initialized

05/15/06 18:46:44 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/15/06 18:46:44 [Note]: 7019 4

05/15/06 18:46:44 [Note]: 7005 0

05/15/06 18:46:50 [Note]: 7006 0

05/15/06 18:46:50 [Note]: 7011 1800

05/15/06 18:46:50 [Note]: 7026 0

05/15/06 18:46:50 [Note]: 7026 0

05/15/06 18:46:55 [Note]: FSRAW library version 1.7.1015

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:50:53 [Note]: 2000 1006

05/15/06 18:55:51 [Note]: 7007 0

 

voila le rapport de du logiciel (dont je ne sais plus le nom.... ) il n'a rien détecter on dirait.

sinon plus aucun problème merci!

[tornado]

Re,

 

 

En effet, aucun rootkit trouvé

 

 

Cela signifie que ton système est propre, car en plus de cela, tu ne ressens plus de problème ...

 

Avant de commencer à sécuriser ton système, tu vas remettre certaines choses en place :

 

 

* Je t'avais fait faire ceci pour avoir accès à tous les fichiers =>

Démarrer, Poste de travail / Menu Outils / Options des dossiers / onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Cliquer sur "Appliquer à tous les dossiers", puis OK

 

A présent, recache tous ces dossiers pour ne pas en effacer un par erreur !

 

 

* Ensuite, je t'avais fait utiliser et télécharger certains outils pour le procédure de désinfection :

• Les pages Web
  
• Blacklight => il ne doit pas être utilisé n'importe comment, car a l'habitude de détecter des fichiers tout à fait légitime. Donc débarasse-toi en
  

Tu peux à présent les supprimer, car ils ne te seront plus utiles (et vide la corbeille)

 

 

 

* Pour terminer, il te faut supprimer les points de restauration, car il se peut qu'elle soit infectée. Je te recommande de le faire, en la désactivant, puis en la réactivant, selon ce tuto --> http://www.libellules.ch/desactiver_restauration.php

 

---------------------------------------------------------------------------------------------------------------------------

 

 

Après avoir fait ceci, on peut entamer la sécurisation du système, pour ne pas être réinfecter à l'avenir :

 

 

1) Tout d'abord, il est nécessaire que tu installes un vrai firewall, car celui d'xp n'est pas suffisant. En effet, il ne filtre pas en sortie,; cela signifie qu'un malware ayant infecté ton pc peut se connecter au net sans problème. Je te propose Kerio et Zonealarm, qui sont simple d'accès, gratuit, efficace :

 

 

=> Kerio

 

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/82-kerio-...all-423912.html

- Tu peux t'aider de ce tuto pour le configurer --> http://www.vulgarisation-informatique.com/kerio.php

 

=> Zonealarm

 

- Pour le télécharger, c'est ici --> http://telechargement.zebulon.fr/58-zonealarm-61-fr.html

- Tu peux t'aider de ces tutos pour le configurer :

--> configuratio/utilisation : http://www.zebulon.fr/articles/configurationZA_1.php

--> aide au paramétrage : http://sitanibal.free.fr/zonealarm/ZoneAlarmHelp_Online.htm

 

 

=> Tu peux parcourir cette page ainsi que tout le site, pour comprendre le fonctionnement du firewall, te permettre de faire ton choix entre les deux firewalls que je propose --> http://benoit.aun.free.fr/securite-facile-php/firewall.php

 

 

/!\ Ne saute pas cette étape, le firewall est l'utilitaire de sécurité essentiel sur un système (ce n'est pas l'antivirus)

 

 

 

2) A présent, quelques conseils de sécurité, à lire attentivement et bien sûr à appliquer :

 

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis /de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

Pour en savoir plus, consulte la page de ipl_001:

http://gerard.melone.free.fr/IT/IT-AM0.html

 

1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :

 

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe :

 

- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/

- Tutorial : http://forum.zebulon.fr/index.php?showtopic=69628

 

 

Si tu veux toujours utiliser IE ! :

 

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)

Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg :

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)

http://www.spywarewarrior.com/uiuc/resource.htm

 

=> ZebProtect (pour sécuriser les ports de ton PC, très simple)

 

- Tutorial : http://www.zebulon.fr/articles/zebprotect.php

- Téléchargement : http://telechargement.zebulon.fr/123.html

 

=> Si tu veux tester ton firewall : scanner les ports du PC :

 

http://www.pcflank.com/

 

 

=> SpywareBlaster :

 

http://www.javacoolsoftware.com/downloads.html

Son tuto :

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

=> Ad-Aware SE de Lavasoft

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

http://tutopat.hostonet.org/viewtopic.php?t=207

 

=> SpyBot-Search & Destroy de Patrick Kolla

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

 

=> Regprot (petit utilitaire très léger : 144ko !) pour protéger ta base de registre :

http://www.diamondcs.com.au/index.php?page=regprot

 

=> Ewido : http://download.ewido.net/ewido-setup.exe

c'est une version d'essai, qui perd certaines fonctions payantes, (pas de protection résidente)

mais il reste efficace ! Mets le à jour avant de scanner ton PC.

 

2)- Les utilitaires pour nettoyer le PC :

 

=> Clean Up 40 :

http://www.stevengould.org/software/cleanup/

- Ouvre CleanUp40 et vas sur "Clean up custom" et assure toi que seules ces cases sont cochées :

 

* Empty Recycle Bin

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan (cleanup)

 

- aide en image : (merci à Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

=> EasyCleaner de Toni Helenius (installe le dans son dossier)

http://personal.inet.fi/business/toniarts/files/EClea2_0.exe

Utiliser uniquement les fonctions "Inutile(s)" et "Registre". Ne pas toucher à la fonction "Doublons". Supprime tout ce qu'il propose.

 

http://personal.inet.fi/business/toniarts/ecleane.htm

Tutorial :

http://www.uptoopc.net/nettoyer/temporaires.php

http://www.uptoopc.net/nettoyer/registre.php

http://www.uptoopc.net/nettoyer/autresfonctions.php

 

 

 

=> ATF-cleaner par Atribune : http://www.atribune.org/public-beta/ATF-Cleaner.exe

C'est un nettoyeur très peu gourmand en ressources mais très efficace. Il te permet de nettoyer les différents fichiers temporaires sur ton pc, y compris ceux de ton naivigateur alternatif. En voici le mode d'emploi :

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

 

=> RegSeeker de Thibaud Djian : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'apporter de nombreuses améliorations à Windows (fonction "Tweaks").

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

- Téléchargement : http://www.hoverdesk.net/freeware.htm

 

- Tutorial : http://www.zebulon.fr/articles/regseeker-1.php

 

=> JV16 PowerTools de Jouni Vuorio : Utilitaire très complet : il intègre les fonctions de Regcleaner.

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel intègre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de problème.

 

 

- Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

- Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

 

 

- Pour finir, il y a possibilité de réagir et de faire avancer les choses au niveau de la lutte antimalware :

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

Plus d'info sur le topic d'ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

NB : Même si la possibilité de sécuriser IE est proposée, je te recommande cependant d'essayer Firefox, qui est beaucoup plus sécurisé... (n'intègre pas les activex souvent infectieux)

 

 

 

 

Parmi ces différents utilitaires, tu retrouves certains utilitaires qu'on a utilisé pendant la désinfection...

Tu peux donc tous les garder, en t'en servant régulièrement.

 

Informe-moi si tout s'est bien passé (installation + configuration du firewall notamment) .

 

 

 

A+

 

 

PS: Si tu ressens encore quelques ralentissements, tu peux optimiser ton rapport (et donc optimiser ton système, notamment par le biais des lignes O4 => programmes au démarrage) en le postant dans la section optimisation/sécurisation.

[j-an]

euh... j'ai un peu de mal avec la configuration dezone alarm le tutorial n'a pas la meme version que celle telechargé... il y a des boutons qui ont disparus etc...

firefox est plus sécurisé que internet exploreur...je vais essayé alors...sinon les conseils de sécurité je les faits ds l'ensemble déjà...

franchement merci

[tornado]

Re,

 

euh... j'ai un peu de mal avec la configuration dezone alarm le tutorial n'a pas la meme version que celle telechargé... il y a des boutons qui ont disparus etc...

 

 

C'est parce que c'est le tuto de la version pro, à laquelle est ajoutée certaines fonctions, pas vraiment nécessaire pour bien te protéger. Alors que tu utilises la version Free

Donc ne tient pas compte des boutons ajoutés, concentre toi sur la partie "contrôle des applications", commune aux deux versions.

 

Et de toute manière, si tu n'es pas à l'aise avec ZA, essaye Kerio

 

 

 

A+