Sécurité et Risques ! Aide !

Julien -
Julien - 4 févr. 2009 à 05:10

Bonjour,
En préambule, je préfère vous dire que je n'y connais pas grand chose en informatique, désolé si je patauge un peu dans mes explications !
Alors voilà, j'ai changé de PC récemment. A l'achat, une version d'essai de Norton était intégrée pendant un laps de temps. Je suis arrivé à la fin de ce temps et j'ai donc supprimé Norton pour installer Antivir, Ad-Aware, Zone Alarm et plus récemment Trojan remover. Bcp de protection nécessaire.
Hier soir, un message d'Antivir me signale la présence d'un cheval de troie sur un fichier. Il me propose de le supprimer. Chose faite. Qq secondes après un autre cheval de troie est signalé, même procédé, et encore un. Après suppression, je vérifie que rien n'est resté sur le PC et à priori c'est bon. Mais comment en être sûr de manière ferme et définitive (les antivirus et autre spyware sont suffisants ? Existe t il un autre moyen pour le savoir comme des scans en ligne...).
Autre question, sur Zone alarm, je suis à près de 2000 intrusions bloquées et autres tentatives d'accès et un peu moins d'une centaine sont de niveau elevé. Est ce normal. Toujours dans Zone Alarm, dans la zone Internet en haut a droite, avec le cadenas et le stop (pour que vous puissiez visualisez), à coté du cadenas quelques carrées sont positionnées et à l'intérieur des petits icônes (processus hôte pour les services de windows, zone alarm client...). Un de ces carrés m'interpelle. Il y est marqué quand on passe la souris dessus : Firefox, écoute du ou des port(s) bloquée : TCP 49163, 49165. Pouvez vous m'expliquez ce que signifie cette écoute de port bloquée, les risques s'il y en a, un signe de cheval de troie ou autre ?
Enfin, j'ai fait un test avec GRC Shields UP et tou est OK, au vert.
Voilà, je suis un peu flippé qu'on me pirate l'ordinateur ou qu'on espionne (codes et autres mdp...)

Merci pour votre précieuse aide !

Afficher la suite

A voir également:

Sécurité et Risques ! Aide !
Question de sécurité - Guide
Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
Mode securite - Guide
Clé de sécurité windows 10 gratuit - Guide
Bouton sécurité windows - Forum Windows

16 réponses

Réponse 1 / 16

Profil bloqué

alor deja tu na pa besoin de tu sa un seul anti virus et necessaire les otre c ke de la m.. il trouveron tjr kelke chose..

Réponse 2 / 16

chaita Messages postés 3398 Statut Contributeur 544

bonjour trop de protection ou d'antivirus=disfonctionnement +ralentissement du pac

telecharge se logiciel et fais un ccan en mode sans echec c'est la qu'il est le plus performant

http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

ensuite poste le rapport generé

Julien

Re, merci pour vos réponses rapides ! Quel logiciel Chaita ? Mode sans échec c'est en faisant F8 au démarrage c'est ça ?

Julien

Ok je n'avais pas vu le lien :p Je fais ça et je reviens te dire. Concernant l'écoute de port bloquée ... Ca signifie quoi concrètement .?

Réponse 3 / 16

chaita Messages postés 3398 Statut Contributeur 544

le logiciel sapelle malwarebytes qui est la :http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

esuite exact f8 pour demarer en mode sans echec en suite poste le rapport que tu a obtenus

ps( le scan est fait en profondeur et peut durer j'usqua 2heure) mais sa vaut le coup

Julien

Re !
Alors scan réalisé en mode sans échec, j'ai ma réponse sur la "propreté" de mon système. Voici le rapport :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1698
Windows 6.0.6001 Service Pack 1

27/01/2009 14:12:30
mbam-log-2009-01-27 (14-12-30).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 116984
Temps écoulé: 16 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

----------------------------------------------------------------

Donc là je peux être rassuré normalement...

Par contre, toujours cette question sur la zone en haut a droite de Zone Alarm (cf mon 1er message) sur l'écoute des ports bloquée... Qu'est ce que cela signifie concrètement.
Est ce une tentative d'intrusion ou alors je peux dormir sur mes deux oreilles ?!

Merci en tout cas de consacrer du temps à mon aide !

Réponse 4 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Bonjour,

@ chaita :

MalwareBytes doit être utilisé en mode normal, pas en mode sans échec (ce sont les concepteurs de ce programme qui le disent)

Et plutôt que de proposer des scans au hasard, il faudrait plutôt essayer d'identifier l'infection, non ???

@ Julien :

Merci d'utiliser ce logiciel de diagnostic pour me permettre de t'aider :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

Julien

Anthony bonjour !
Une nouvelle vision sur mon problème ! Merci pour ton aide.
J'ai donc effectué les manips dont tu m'as parlé. Voici les résultats :

--------------------------------------------------------------------------------------------

Logfile of random's system information tool 1.05 (written by random/random)
Run by Julien at 2009-01-27 14:48:36
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 105 GB (74%) free of 142 GB
Total RAM: 1789 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:48:50, on 27/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Julien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Julien\Downloads\RSIT.exe
C:\Program Files\trend micro\Julien.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer-group.com/selection.html?b=ACEW&l=040c&s=2&o=vb32&d=0908&m=e620
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer-group.com/selection.html?b=ACEW&l=040c&s=2&o=vb32&d=0908&m=e620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.acer-group.com/selection.html?b=ACEW&l=040c&s=2&o=vb32&d=0908&m=e620
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\eMachines\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 16

chaita Messages postés 3398 Statut Contributeur 544

ce n'est pas un scan au hasard comme u dit et j'ai fait beaucoup de test et de recherche et cet outil est beaucoup plus perfoment en mode sans echec que en mode normal beaucoup te le diront apres ce que dise les createur sa me regarde pas
as chacun son mode de foncionnement se qui la difference de l'etrre humain

pour julien atoi de voir qui tu veut .....

Réponse 6 / 16

Julien

Re Chaita,
Et bien moi je veux comprendre :) Et ta réponse m'a aidé a avancer dans cette compréhension, je t'ai posté les résultats et ça semble OK, donc c'est une bonne nouvelle.
Maintenant, je ne sais toujours pas ce que sont ces "Firefox, écoute de port(s) bloquées TCP 49163, 49165" par Zone Alarm (dois je m'en inquiéter ? Alors non, parce qu'elles sont bloquées donc pas de soucis on est d'accord, mais a quoi cela correspond une écoute de port, je suis simplement sur Internet, pas de chat, pas de msn, pas de sites non sécurisés...)
Merci

Julien

Re;
Alors les verdicts ? :p

Réponse 7 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

@ chaita :

1) Le mode sans échec permet habituellement de pouvoir supprimer plus facilement des fichiers qui sont utilisés au moment du scan, mais c'est inutile pour MalwareBytes puisqu'il est capable de supprimer ces fichiers suite à un redémarrage.
Si les créateurs de MalwareBytes disent qu'il faut l'utiliser en mode normal, alors c'est ce qu'il faut faire. Ils savent quand même mieux que toi comment il faut utiliser leur logiciel, tu ne crois pas ?

2) Si, c'est un scan au hasard... Tu n'as même pas essayé d'identifier l'infection et tu demandes directement un scan ! MalwareBytes est efficace, on est d'accord, mais il ne détecte pas tout (et souvent, il laisse des traces en ne supprimant pas la totalité des infections).
Regarde un peu autour de toi sur ce forum, tu verras que tous les intervenants expérimentés font d'abord un diagnostic et ne se lancent pas à l'aveugle dans un scan avec un logiciel quelconque.

@ julien

Le rapport RSIT montre un dossier suspect, et d'après les recherches que j'ai fait, il est supprimé par certains outils de désinfection : C:\Users\Julien\AppData\Roaming\Skinux

• Désactive le contrôle des comptes utilisateurs : Menu démarrer --> panneau de configuration --> comptes utilisateurs --> activer ou désactiver le controle des comptes utilisateur --> décoche la case "utiliser le contrôle....." Puis redémarre ton ordinateur.

• Télécharge SmitfraudFix (de S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

• Enregistre-le sur le Bureau

• Fais un clic-droit sur SmitfraudFix.exe et choisis « Exécuter en temps qu'administrateur »

• Au menu principal, choisis l'option 1 puis appuie sur la touche Entrée

• Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel illustré : http://www.malekal.com//tutorial_SmitFraudfix.php

Julien

Re Anthony,
J'ai suivi tes conseils et voici le rapport généré par Smitfraudfix (Antivir me la détecté comme virus, mais j'ai ignoré de manière à pouvoir faire la recherche) :

SmitFraudFix v2.392

Scan done at 17:30:07,51, 27/01/2009
Run from C:\Users\Julien\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Julien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Julien

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Julien\AppData\Local\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Julien\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Julien\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Google\googletoolbar1.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~1\\GOEC62~1.DLL"
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR5007EG Wireless Network Adapter
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{75DB9C24-A121-4E6B-8B64-B77CF26E8184}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75DB9C24-A121-4E6B-8B64-B77CF26E8184}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{75DB9C24-A121-4E6B-8B64-B77CF26E8184}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Voilà, j'attends ta précieuse réponse et encore merci pour le temps que tu consacres à mon problème !

Réponse 8 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Maintenant, démarre en mode sans échec :
Pour cela, tu tapotes sur la touche F8 (F5 sur certains pc) dès le début de l’allumage du PC sans t’arrêter, avant l'apparition du logo Windows. Un menu va apparaitre, déplace-toi avec les flèches du clavier sur Démarrer en mode sans échec puis tape Entrée. Choisis ta session habituelle, et ne t'inquiète pas si les couleurs et la taille des icônes changent, c'est normal !

Relance le programme SmitfraudFix.
Cette fois, choisis l’option 2, répond oui à tous;
A la fin, sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.

Julien

Re,
Voici donc le rapport demandé :

SmitFraudFix v2.392

Rapport fait à 18:19:01,66, 27/01/2009
Executé à partir de C:\Users\Julien\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\Google\googletoolbar1.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{75DB9C24-A121-4E6B-8B64-B77CF26E8184}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75DB9C24-A121-4E6B-8B64-B77CF26E8184}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{75DB9C24-A121-4E6B-8B64-B77CF26E8184}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Anthony, plusieurs questions, mis a part ton diagnostic (ça reste le plus important tout de même) :

- Faut-il que je conserve le paramètre de contrôle du compte utilisateur que tu m'as fait décocher (Windows m'envoie des alertes de sécurité)
- Je ne sais toujours pas ce que sont ces "Firefox, écoute de port(s) bloquées TCP 49159, 49161, 49163, 49165" par Zone Alarm (dois je m'en inquiéter ? Alors non, parce qu'elles sont bloquées donc pas de soucis on est d'accord, mais a quoi cela correspond une écoute de port, je suis simplement sur Internet, pas de chat, pas de msn, pas de sites non sécurisés...). Dois-je en avoir "peur" ?

Voilà, j'attends ta réponse ! Encore merci pour ton aide !

Julien > Julien

Toujours dans la dynamique de ma dernière question, j'en profite pour rajouter un nouveau message de Zone Alarm "Processus hôte des Services Windows des écoutes du ou des port(s) UDP 500m 4500" (Pour ressituer, page de ZA, en haut à droite, fenêtre Internet à côté du cadenas ouvert, ce sont ces icônes de programmes qui contiennent ces messages quand l'on passe la souris dessus). Inquiétant ? ou non ?

Merci bcp.

Julien > Julien

Et enfin, est ce normal d'avoir autant d'intrusions bloquées par ZA ? plus de 3000 en 2 jours, plus d'une centaine de niveau élevé .. ! Voilà, j'en ai fini de mes questions ....!

Merci pour votre aide !

Réponse 9 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Poste un nouveau rapport RSIT stp

Pour répondre à tes questions :

Tu pourras réactiver le contrôles des comptes utilisateurs à la fin de la désinfection si tu veux.

Pour les écoutes de port de Firefox, c'est normal : l'application est obliger d'ouvrir un port en écoute si elle veut qu'une application distante puisse communiquer avec elle.

https://sebsauvage.net/safehex.html#r041b

Julien

Anthony bonjour,
Très heureux de te retrouver aujourd'hui pour m'aider?
Voici le log demandé :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Julien at 2009-01-28 15:02:01
Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 1
System drive C: has 105 GB (74%) free of 142 GB
Total RAM: 1789 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:24, on 28/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Users\Julien\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Julien\Downloads\RSIT(2).exe
C:\Program Files\trend micro\Julien.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\eMachines\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

Julien > Julien

Anthony,
Je viens de faire un scan avec spybot, et pour info, il m'a trouvé un cookie tracer (Internet Explorer) : cookie.julien@doublerclick.net. J'ai corrigé le problème... Est ce une aide pour tes recherches ?
A tout à l'heure.

Julien > Julien

Bon, j'ai cherché un peu sur les divers forum et je vois qu'il n'y a pas objet de s'inquiéter de ce cookie traceur double click. Me voilà déjà rassurer. Je te laisse étudier le log que j'ai posté juste avant et j'attends ton verdict !
Julien

Réponse 10 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Les cookies traceurs ne sont dangereux pour ton ordinateur, par contre ils recueillent des informations (sites web visités, mots clés tapés...) pour t'envoyer des publicités ciblées.

Si tu veux ne plus en avoir, le plus simple est :
- De mettre à jour Spybot régulièrement et de faire les vaccinations (il en bloque actuellement 193)
- De noter les noms des autres cookies détectés, et de les interdire manuellement dans ton navigateur.

Pour Firefox :
Outils --> Options --> Vie privée --> Exceptions
Tape l'adresse du site correspondant au cookie (ici doublerclick.net) et clique sur Bloquer.

Sinon, le rapport RSIT ne montre plus d'infection ;)
Je vais poster un second message dans quelques minutes pour t'aider à finir le nettoyage et à sécuriser ton ordinateur.

Julien

Franchement chapeau Anthony. Tu as été très pro et d'une aide précieuse, c'est vraiment agréable de pouvoir compter sur des personnes comme toi qui prennent le temps d'aider ceux qui comme moi sont un perdus dans les méandres de l'informatique !!
Dernière question : Sais tu au final de quel type de virus, ou trojan, il s'agissait ? (espionnage, key logger ou autre... je te sors peut être des termes totalement inappropriés, aucune idée :) )
Merci encore pour ton aide et tes réponses !

Réponse 11 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

C'était un cheval de Troie, c'est Antivir qui te l'a dit ;)

Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).

1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille vivement de désinstaller la tienne (barre d'outil Google).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Google Toolbar.

2) Sécurise ton ordinateur

• Anti-virus :
Antivir est un excellent choix, garde le. Juste un petit réglage à faire pour activer la recherche de rootkit lors des scans : Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche »

• Anti-spyware :
* Ad-Aware est un logiciel inutile : il ne te protège pas, puisque la version gratuite ne permet que des scans à la demande, et ces scans sont inefficaces (ils sont justes bon à supprimer des cookies...) Malgré cela, Ad-Aware consomme en permanence de la mémoire ! Je te conseille vivement de le désinstaller.
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 15 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant, et Spybot pour ses vaccinations.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser uniquement le navigateur Firefox 3 avec deux extensions :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

3) Télécharge hijackthis sur ton Bureau : hijackthis
Installe le, lance le, clique sur "Do a system scan only", et coche ces lignes (pas dangereuses mains inutiles) :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Ensuite, clique sur "Fix checked"

4) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur », clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

5) Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

6) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

• Menu démarrer --> clic droit sur ordinateur --> propriétés --> protection du système
• Désactive la restauration du système sur tous les lecteurs
• Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.

7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet

Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Julien

Ok Anthony, je m'occupe de tout ça ! (sauf que la désinstallation de la Google Toolbar semble impossible... Quand je clique sur désinstaller, rien ne se passe !)
Concernant le virus, enfin le Cheval de Troie, ce genre de truc me fait un peu peur. après qq renseignements pris sur les forums. Quelle était le but de celui-ci ? Pet-on savoir d'où il vient, qui le commande, ce qu'il a pu récupérer... enfin tout ça quoi :)

Merci encore !

Julien > Julien

Pour t'aider à répondre à mes questions de mon post précédent, enfin je sais pas si mon aide est réellement importante vu mes connaissances en informatique, j'ai retrouvé sur Antivir le nom des Trojan :
- Dans le fichier 'C:\Program Files\eMachines GameZone\Chuzzle\Chuzzle.exe'
un virus ou un programme indésirable 'TR/Agent.1089536.G' [trojan] a été détecté.
Action exécutée : Supprimer le fichier
-Dans le fichier 'C:\Program Files\eMachines GameZone\Bookworm Deluxe\BookWorm.exe'
un virus ou un programme indésirable 'TR/Agent.1220608.C' [trojan] a été détecté.
Action exécutée : Supprimer le fichier
-Dans le fichier 'C:\Program Files\eMachines GameZone\Agatha Christie Death on the Nile\DeathOnTheNile.exe'
un virus ou un programme indésirable 'TR/Agent.1474560.D' [trojan] a été détecté.
Action exécutée : Supprimer le fichier

Voilà, peut-êrtre que ces Trojan te diront qq chose. En tt cas merci pour tout ce que tu as fait très gentiment pour moi et toutes tes explications claires et précises. C'était parfait.

Réponse 12 / 16

Julien

Anthony bonjour !
Qq jours que je ne te vois plus sur CCM... J'espere que tout va bien pour toi .. A l'occasion, va voir ce nouveau post, cela peut t'intéresser et tu aura peut être une réponse ... (C'est moi qui ait posté ce message) :

http://www.commentcamarche.net/forum/affich 10782189 incroyable trojan idem decouvert

@ bientôt !

Réponse 13 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

Bonjour,

Je n'ai pas été très présent ces derniers jours effectivement.

Est-ce que ces détections correspondent à des programmes crackés ?

Réponse 14 / 16

Julien

Bonjour Anthony,

Ravi de te revoir !
Non, ce ne sont pas des programmes crackés. Ils sont fournis à la livraison du PC. Également à la livraison du PC l'antivirus Norton en version d'essai pendant un certain laps de temps. C'est deux ou trois jours après la fin de la période d'essai et après l'installation d'Antivir, que ce dernier m'a détecté ces fameux Trojan. La chose incroyable est que cet internaute a eu les mêmes soucis, les mêmes noms de Trojan, le même jour, dans les mêmes fichiers (mais je ne sais pas si sa période de fin d'essai de Norton coïncidait avec la mienne, je ne crois pas d'ailleurs qu'il y ait de lien entre la fin d'essai de Norton et l'apparition de ces Trojan)...
As-tu un début d'explication ?

Réponse 15 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

"La chose incroyable est que cet internaute a eu les mêmes soucis, les mêmes noms de Trojan, le même jour, dans les mêmes fichiers"
Les infections circulent aujourd'hui pendant une durée très courte avant d'être retirée (puis remplacée par une autre), ce n'est donc pas si incroyable que ça ;)
Sinon c'était peut-être un faux-positif... Est-ce que tu as mis les fichiers en quarantaine ou les as-tu supprimé directement ?

Julien

Re !
Non, je les ai supprimé directement. Un nouvel indice peut-être : au démarrage, j'ai une demande d'inscription de ma machine sur les services de eMachines (Acer), comme la toute première fois que je l'ai allumé. Avec le numéro de série et un lien pour aller sur le site d'eMachines pour l'enregistrer.
Voila !

Julien

Anthony bonjour,
J'ai essayé de jeter un œil sur les divers rapports que je t'ai posté histoire d'essayer de comprendre. Bon je ne comprends pas grand chose (normal vu mon niveau), sauf qu'à priori le fichier infecté était lié à la Toolbar de Google. J'ai lu ça sur un des rapports. Exact ?
Est ce que le fait que je ne puisse pas supprimer le programme (ni dans le panneau de config, ni avec CCleaner..) est génant ? (à priori tu m'as fait décoché la ligne dans Hijackthis)
Et encore une question. Est ce qu'il y a lien avec les premiers trojan découvert par Antivir lors de mon tout premier post de cette discussion. Je te demande ça parce que ces trojan ont été détectés dans d'autres dossiers par Antivir et je ne vois pas le lien avec la Toolbar google...
Et dans l'une de tes réponses, tu me parlais d'un fichier suspect dans un de mes fichiers se terminant par /Roaming/Skinux . Là aussi un lien avec l'infection de la Toolbar Google ?
Désolé si je persiste un peu sur tout ça, c'est pour tenter de comprendre un peu le processus. Si t'as un peu de temps, merci de me répondre, ce serait vraiment très gentil de ta part.
A très bientôt j'espère et encore merci !

Julien

Réponse 16 / 16

anthony5151 Messages postés 10927 Statut Contributeur sécurité 790

"je ne comprends pas grand chose (normal vu mon niveau), sauf qu'à priori le fichier infecté était lié à la Toolbar de Google"

Euh non, où as-tu vu ça ?
Je t'ai conseillé de désinstaller cette barre d'outil, car comme toutes les barres d'outils, elle est inutile mais crée des problèmes (ralentissement du navigateur, bug du navigateur...)
Si tu as fixé la ligne sur hijackthis, c'est bon :)

Tu as raison de poser des questions, n'hésite pas à continuer si tu en as d'autres ;)

@+

Julien

Salut !
En fait, j'ai lu le rapport Smifraudfix et j'ai trouvé ça :

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\Google\googletoolbar1.dll supprimé

Donc je me suis dit que ça devait être là dedans ! Mais apparemment non alors !

Et j'ai essayé de trouver des infos sur ces Trojan mais je ne trouve rien ! J'ai entendu parler de faux positif ou de communication probable entre eMachines - Acer (le fabricant) et mon PC qui peuvent être détecté par Antivir comme des virus. Bref, je reste toujours dans le fou pour ça !

A+ Enthony et encore merci !

Discussions similaires

Sécurité de l'URL

comment lire un message masqué????

La nouvelle messagerie du Boncoin....

Message erreur : la sécurité s'arrête systématiquement

"appareil exposé à risque d'obsolescence"

Sécurité et Risques ! Aide !

16 réponses

Votre réponse

Discussions similaires

Newsletters