SOS : Pb avec ZAlarm et I.E. sous Win Xp
Le petit blond chauve
-
le petit blond chauve -
le petit blond chauve -
Salut,
J'ai besoin de votre aide (diagnostic et/ou conseils) concernant des anomalies apparues simultanément sur ma machine :
1) Pour Z.A. Pro (version 3) :
- les autorisations accordées aux programmes (mode apprentissage) ne sont plus fixées : elles me sont demandées à chaque démarrage ;
- la protection "e-mail attachment" est devenue inopérante ;
- Rubrique "Program Control", onglet "Component" : présence d'une entrée ne portant pas de nom, identifiée en tant que .dll à authentification manuelle ;
- Rubrique "Program Control", onglet "Programs" : présence d'un programme ne portant pas de nom et ayant pour seul attribut une date de création invalide
J'ai eu beau installer/désinstaller/rebooter... rien n'y fait :-(
2) Internet Explorer 6 :
- Toute d'utilisation d'un lien pointant vers des fichiers .zip ou .exe (tentative de téléchargement d'outils de disgnostic, antivirus et autres...) échoue, que ce soit au clic gauche (Erreur 403 : accès refusé) ou au clic droit (fenêtre d'erreur).
En bref, malgré l'absence de virus (analyse Symantec Security Response) ça sent pas très bon...
La log générée par HijackThis est la suivante :
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\DSP24Set.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\progra~1\popfile\popfileib.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Run POPFile.lnk = C:\Program Files\POPFile\runpopfile.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Alors donc... que faire ?
Merci d'avance pour l'aide que vous pouvez m'apporter !
Le petit blond chauve
J'ai besoin de votre aide (diagnostic et/ou conseils) concernant des anomalies apparues simultanément sur ma machine :
1) Pour Z.A. Pro (version 3) :
- les autorisations accordées aux programmes (mode apprentissage) ne sont plus fixées : elles me sont demandées à chaque démarrage ;
- la protection "e-mail attachment" est devenue inopérante ;
- Rubrique "Program Control", onglet "Component" : présence d'une entrée ne portant pas de nom, identifiée en tant que .dll à authentification manuelle ;
- Rubrique "Program Control", onglet "Programs" : présence d'un programme ne portant pas de nom et ayant pour seul attribut une date de création invalide
J'ai eu beau installer/désinstaller/rebooter... rien n'y fait :-(
2) Internet Explorer 6 :
- Toute d'utilisation d'un lien pointant vers des fichiers .zip ou .exe (tentative de téléchargement d'outils de disgnostic, antivirus et autres...) échoue, que ce soit au clic gauche (Erreur 403 : accès refusé) ou au clic droit (fenêtre d'erreur).
En bref, malgré l'absence de virus (analyse Symantec Security Response) ça sent pas très bon...
La log générée par HijackThis est la suivante :
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\DSP24Set.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\progra~1\popfile\popfileib.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Run POPFile.lnk = C:\Program Files\POPFile\runpopfile.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Alors donc... que faire ?
Merci d'avance pour l'aide que vous pouvez m'apporter !
Le petit blond chauve
4 réponses
salut,
Déjà tu vas vite mettre le SP1 pour XP et IE, avec windows update.
Ensuite fais un scan en ligne avec RAV antivirus et copie-colle le résultat.
Déjà tu vas vite mettre le SP1 pour XP et IE, avec windows update.
Ensuite fais un scan en ligne avec RAV antivirus et copie-colle le résultat.
fais aussi, avec winupdate,t outes les MAJ critiques. C'est quoi ton antivirus?? Tu as déjà formaté, non?
Merci de t'être penché sur mon cas !
Peu après avoir posté mon message, j'ai persévéré dans mes recherches et analyses, et je précise : ayant eu jusqu'ici confiance dans le filtre e-mail attachement de ZApro (manifestement insuffisant et dépassé), j'avais cessé d'utiliser un antivirus résident sur ma machine (SOPHOS) qui causait des problèmes avec un gestionnaire de ma carte son ('External Links' pour la Hoontech DSP24) : je me contentais d'une analyse quotidienne en ligne sur le site de Symantec.
Voici ce qui s'est chronologiquement passé depuis :
- Relevé de ma boîte aux lettres depuis O.E. et réception d'une cinquantaine de messages de type MAILER-DAEMON "le courrier que vous avez adressé patati patata...n'est pas arrivé etc." : ça sent bon le mass spammer...
- Téléchargement (tiens, la fonctionnalité d'I.E. 6 semble marcher de nouveau...) du logiciel a² free, installation, scanning : rien n'est décelé.
- Scan en ligne sur pandasoftware : je laisse le contrôle ActiveX s'installer et démarrer, j'éteinds le modem et je vais pioncer :-)
- Au réveil : le contrôle antivirus pandaware m'indique la détection du W32/Klez.I et qu'il l'a éradiqué...
- Je me reconnecte, télécharge l'outil "removal tool" de pandasoft et je le lance : il m'indique qu'il efface les traces de quelques cochonneries et qu'il restaure ma config. ZApro fonctionne toujours pareil, c.a.d. mal...
- Je fais un scan en ligne sur Symantec (pas forcément un bon choix, j'aurais dû essayer celui que tu m'as indiqué), mais rien d'anormal ne se révèle. J'éteinds tout et je pars bosser...
- Au retour, impossibilité de faire la MAJ du Spack1 et quelque part c'est un peu normal... Je tente les autres MAJ, I.E. crashe et d'autres applications à la suite. Obligé de fermer la session "salement".
- Reboot hors connexion, désinstallation complète de ZApro (avec nettoyage manuel de la base de registres). Suppression manuelle des fichiers temporaires, reboot.
- Installation de Sophos Anti-Virus, reboot.
- Analyse complète sous Sophos : un joke/virus (mini jeu à la noix...) est décelé dans un dossier de stockage ordinaire ; suppression manuelle malgré l'alerte et l'interdiction que délivre Sophos. Vidage des fichiers temporaires, reboot.
- 4 icônes sur 7 (dont Panicware Pop-up stopper, Intercheck monitor Sophos) manquent dans ma barre des tâches. Celle d'External Links a une sale tronche...
- Je lance Sophos : malgré son absence dans la barre des tâches, lntercheck fonctionne bien. Ctrl+Alt+Supr -> Gestionnaires des tâches -> ICMON.exe est absent, bizzare...
- Réinstallation de ZApro (qui ne me demande pas mon numéro de licence : je croyais avoir nettoyé...) alerte quasi immédiate : svchost.exe IP 0.0.0.0:5000 que je n'autorise pas. Reboot.
- Désinstallation (mode automatique) de Sophos Antivirus : OK, reboot. Ma barre des tâches retrouve toutes ses icônes et les programmes associés sont visibles après un Ctrl+Alt+Supr. J'ai un doute : n'y aurait-il pas une cochonnerie résiduelle se lançant au démarrage, qui empêchait le fonctionnement du moniteur de Sophos lorsqu'il était installé ?
- J'ouvre ZApro : aucune entrée suspecte dans les programmes ni les composants. Pour le programme svchost.exe : blocage du port 5000 et je paramètre pour qu'il m'interroge chaque fois qu'il tente d'établir une connexion.
- Je me connecte à Internet, 2nde alerte : svchost.exe destination IP : 239.255.255.250 (?) port 1900. Interdiction de cet accès et blocage du port.
- J'autorise par contre les connexions sur l'IP 212.198.0.91 (mon DNS).
- J'ouvre ma messagerie via le web et remarque un MAILER-DAEMON émis à 19h17 (bien avant que je ne me reconnecte) par une des machines du domaine où j'ai une autre adresse de messagerie : j'ai spammé à mon insu, mais à quelle heure ? Je ne relève pas les deux P.J. (ce que je suis supposé avoir envoyé...)accompagant ce mail (un fichier .dat 2ko et un fichier .eml "Hello !" 3 Ko). Je supprime la chose et les quelques spams arrivés sans les lire. Je relève le reste de mon courrier avec O.E., rien d'anormal. J'ai successivement autorisé O.E. et mon filtre antispam (PoPfile) dans ZApro lorsqu'ils me l'ont demandé. Je reboote.
- svchost.exe me demande l'autorisation pour accéder au DNS, je la lui accorde. Je lance I.E., ZApro me demande l'autorisation pour le port local 1031, je la lui accorde. Il m'indique successivement que je lui interdis les ports 5000 et 1900 pour svchost.exe.
- Je jette un coup d'oeil de le panneau de contrôle "Programmes" de ZApro : les autorisations que j'avais définies à la session précédente n'ont pas connu de régression (espoir enfin !?)
- Je prends le temps de rédiger ce message, argh !
- J'y colle un petit Hijackthis log : quelle est la suite du roman, d'après toi , sachant que je vais aller faire un scan en ligne sur le site que tu m'as indiqué ?
Logfile of HijackThis v1.97.7
Scan saved at 02:24:43, on 18/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DSP24Set.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\progra~1\popfile\popfileib.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Leuzay\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Run POPFile.lnk = C:\Program Files\POPFile\runpopfile.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Merci de ton soutien... si tu as la patience de me lire !
Peu après avoir posté mon message, j'ai persévéré dans mes recherches et analyses, et je précise : ayant eu jusqu'ici confiance dans le filtre e-mail attachement de ZApro (manifestement insuffisant et dépassé), j'avais cessé d'utiliser un antivirus résident sur ma machine (SOPHOS) qui causait des problèmes avec un gestionnaire de ma carte son ('External Links' pour la Hoontech DSP24) : je me contentais d'une analyse quotidienne en ligne sur le site de Symantec.
Voici ce qui s'est chronologiquement passé depuis :
- Relevé de ma boîte aux lettres depuis O.E. et réception d'une cinquantaine de messages de type MAILER-DAEMON "le courrier que vous avez adressé patati patata...n'est pas arrivé etc." : ça sent bon le mass spammer...
- Téléchargement (tiens, la fonctionnalité d'I.E. 6 semble marcher de nouveau...) du logiciel a² free, installation, scanning : rien n'est décelé.
- Scan en ligne sur pandasoftware : je laisse le contrôle ActiveX s'installer et démarrer, j'éteinds le modem et je vais pioncer :-)
- Au réveil : le contrôle antivirus pandaware m'indique la détection du W32/Klez.I et qu'il l'a éradiqué...
- Je me reconnecte, télécharge l'outil "removal tool" de pandasoft et je le lance : il m'indique qu'il efface les traces de quelques cochonneries et qu'il restaure ma config. ZApro fonctionne toujours pareil, c.a.d. mal...
- Je fais un scan en ligne sur Symantec (pas forcément un bon choix, j'aurais dû essayer celui que tu m'as indiqué), mais rien d'anormal ne se révèle. J'éteinds tout et je pars bosser...
- Au retour, impossibilité de faire la MAJ du Spack1 et quelque part c'est un peu normal... Je tente les autres MAJ, I.E. crashe et d'autres applications à la suite. Obligé de fermer la session "salement".
- Reboot hors connexion, désinstallation complète de ZApro (avec nettoyage manuel de la base de registres). Suppression manuelle des fichiers temporaires, reboot.
- Installation de Sophos Anti-Virus, reboot.
- Analyse complète sous Sophos : un joke/virus (mini jeu à la noix...) est décelé dans un dossier de stockage ordinaire ; suppression manuelle malgré l'alerte et l'interdiction que délivre Sophos. Vidage des fichiers temporaires, reboot.
- 4 icônes sur 7 (dont Panicware Pop-up stopper, Intercheck monitor Sophos) manquent dans ma barre des tâches. Celle d'External Links a une sale tronche...
- Je lance Sophos : malgré son absence dans la barre des tâches, lntercheck fonctionne bien. Ctrl+Alt+Supr -> Gestionnaires des tâches -> ICMON.exe est absent, bizzare...
- Réinstallation de ZApro (qui ne me demande pas mon numéro de licence : je croyais avoir nettoyé...) alerte quasi immédiate : svchost.exe IP 0.0.0.0:5000 que je n'autorise pas. Reboot.
- Désinstallation (mode automatique) de Sophos Antivirus : OK, reboot. Ma barre des tâches retrouve toutes ses icônes et les programmes associés sont visibles après un Ctrl+Alt+Supr. J'ai un doute : n'y aurait-il pas une cochonnerie résiduelle se lançant au démarrage, qui empêchait le fonctionnement du moniteur de Sophos lorsqu'il était installé ?
- J'ouvre ZApro : aucune entrée suspecte dans les programmes ni les composants. Pour le programme svchost.exe : blocage du port 5000 et je paramètre pour qu'il m'interroge chaque fois qu'il tente d'établir une connexion.
- Je me connecte à Internet, 2nde alerte : svchost.exe destination IP : 239.255.255.250 (?) port 1900. Interdiction de cet accès et blocage du port.
- J'autorise par contre les connexions sur l'IP 212.198.0.91 (mon DNS).
- J'ouvre ma messagerie via le web et remarque un MAILER-DAEMON émis à 19h17 (bien avant que je ne me reconnecte) par une des machines du domaine où j'ai une autre adresse de messagerie : j'ai spammé à mon insu, mais à quelle heure ? Je ne relève pas les deux P.J. (ce que je suis supposé avoir envoyé...)accompagant ce mail (un fichier .dat 2ko et un fichier .eml "Hello !" 3 Ko). Je supprime la chose et les quelques spams arrivés sans les lire. Je relève le reste de mon courrier avec O.E., rien d'anormal. J'ai successivement autorisé O.E. et mon filtre antispam (PoPfile) dans ZApro lorsqu'ils me l'ont demandé. Je reboote.
- svchost.exe me demande l'autorisation pour accéder au DNS, je la lui accorde. Je lance I.E., ZApro me demande l'autorisation pour le port local 1031, je la lui accorde. Il m'indique successivement que je lui interdis les ports 5000 et 1900 pour svchost.exe.
- Je jette un coup d'oeil de le panneau de contrôle "Programmes" de ZApro : les autorisations que j'avais définies à la session précédente n'ont pas connu de régression (espoir enfin !?)
- Je prends le temps de rédiger ce message, argh !
- J'y colle un petit Hijackthis log : quelle est la suite du roman, d'après toi , sachant que je vais aller faire un scan en ligne sur le site que tu m'as indiqué ?
Logfile of HijackThis v1.97.7
Scan saved at 02:24:43, on 18/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DSP24Set.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
c:\progra~1\popfile\popfileib.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Leuzay\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Run POPFile.lnk = C:\Program Files\POPFile\runpopfile.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Merci de ton soutien... si tu as la patience de me lire !
salut,
Fermes les ports 1900 et 5000 avec ce petit utilitaire,
http://grc.com/unpnp/unpnp.htm
ZA n'est pas un antivirus,c'est un parefeu. Il surveille "un ptit peu" les PJ des mails si je me souviens bien, mais faudrait vérifier avec la foncion "avancé". Ca sera pour + tard.
Donc tu devrais avoir a² en antivirus, mais je le vois pas.Attention!! jamais 2 antivirus installés en même temps sur le PC.
Il faudrait 1) que tu fasses les MAJ SP1 et critiques (ça sert à rien de nettoyer, si tu laisses la porte grande ouverte).
2) que tu ais un antivirus (et un seul) installé sur ton PC et mis à jour (ca sert à rien etc.....).
Je t'avais demandé si tu n'avais pas déjà formaté. On dirait que oui d'après ton hijack this.
Fermes les ports 1900 et 5000 avec ce petit utilitaire,
http://grc.com/unpnp/unpnp.htm
ZA n'est pas un antivirus,c'est un parefeu. Il surveille "un ptit peu" les PJ des mails si je me souviens bien, mais faudrait vérifier avec la foncion "avancé". Ca sera pour + tard.
Donc tu devrais avoir a² en antivirus, mais je le vois pas.Attention!! jamais 2 antivirus installés en même temps sur le PC.
Il faudrait 1) que tu fasses les MAJ SP1 et critiques (ça sert à rien de nettoyer, si tu laisses la porte grande ouverte).
2) que tu ais un antivirus (et un seul) installé sur ton PC et mis à jour (ca sert à rien etc.....).
Je t'avais demandé si tu n'avais pas déjà formaté. On dirait que oui d'après ton hijack this.
télécharge spybot,
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php
et ad-aware,
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Tu les installes, tu fais les MAJ et tu les lances.
Tu supprimes tout ce qu'ils trouvent (il y a une sauvegarde).
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php
et ad-aware,
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html
Tu les installes, tu fais les MAJ et tu les lances.
Tu supprimes tout ce qu'ils trouvent (il y a une sauvegarde).
Salut,
J'ai (plus ou moins) suivi tes conseils : outre le blocage des ports 1900 et 5000 sous ZApro (et sa modeste protection "e-mail attachment"...) j'ai effectivement rappatrié UnPnP sur mon poste ainsi que toutes les MAJ critiques Win Xp depuis le site de Microsoft ; par contre l'installation du SP1 ne m'est (à juste titre...) pas possible en ligne.
J'ai effectué plusieurs scans en ligne sur 5 moteurs différents (Norton, Panda, RAV, Bit Defender et un cinquième dont le nom m'a échappé) et aucun ne semble trouver quelque chose de viral sur ma machine depuis le premier nettoygae effectué par Panda.
Ceci dit j'ai bien compris l'utilité d'avoir un antivirus résident unique sur ma machine, mais je me trouve devant l'embarras du choix, que ce soit avec les solutions commerciales ou celles gratuites : laquelle choisir ? Chaque internaute a forcément un avis et un argumentaire différent sur la question... Concernant a² par exemple, je n'avais installé que le scanner (gratuit) afin d'identifier la cochonnerie installée sur ma machine : il n'avait rien décelé, d'où sa désinstallation rapide après le résultat - en ligne - de Panda :-))
Et comme tu me le suggérais, j'irai faire un test avec SpyBot, histoire de voir...
Encore merci de ton support,
Le petit blond chauve
J'ai (plus ou moins) suivi tes conseils : outre le blocage des ports 1900 et 5000 sous ZApro (et sa modeste protection "e-mail attachment"...) j'ai effectivement rappatrié UnPnP sur mon poste ainsi que toutes les MAJ critiques Win Xp depuis le site de Microsoft ; par contre l'installation du SP1 ne m'est (à juste titre...) pas possible en ligne.
J'ai effectué plusieurs scans en ligne sur 5 moteurs différents (Norton, Panda, RAV, Bit Defender et un cinquième dont le nom m'a échappé) et aucun ne semble trouver quelque chose de viral sur ma machine depuis le premier nettoygae effectué par Panda.
Ceci dit j'ai bien compris l'utilité d'avoir un antivirus résident unique sur ma machine, mais je me trouve devant l'embarras du choix, que ce soit avec les solutions commerciales ou celles gratuites : laquelle choisir ? Chaque internaute a forcément un avis et un argumentaire différent sur la question... Concernant a² par exemple, je n'avais installé que le scanner (gratuit) afin d'identifier la cochonnerie installée sur ma machine : il n'avait rien décelé, d'où sa désinstallation rapide après le résultat - en ligne - de Panda :-))
Et comme tu me le suggérais, j'irai faire un test avec SpyBot, histoire de voir...
Encore merci de ton support,
Le petit blond chauve
