[OK] Page IE Changée

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Vazkor » 10 Juil 2004, 21:03

Bonsoir,

Si tu as installé Pest Patrol en version d'évaluation, c'est pas pensable de vouloir lire les 200 explications.

Si tu le peux, mets le log sur le serveur CJoint, où nous pourrons le récupérer.
Le fichier y restera 6 jours et cela a l'avantage de ne pas encombrer ces forums.

Colle le lien ici. Nous aurons au moins des pistes à suivre.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Page IE Changée

Messagede Grare » 10 Juil 2004, 21:26

Bonsoir Vazkor,

Je te remercie d'avoir répondu si vite.
Je me suis connecté sur Cjoint, ai utilisé "parcourir" pour inscrire le log, et cliqué sur le dernier bouton en bas. Est-ce ce qu'il fallait faire ?

Dis-moi si tu peux le recevoir et le lire. Et merci d'avance si tu peux en faire quelque chose.

Grare
Grare
 

Messagede Vazkor » 10 Juil 2004, 21:32

Bonsoir,

Tu as oublié une étape.
Tu dois cliquer sur parcourir, sélectionner le fichier ensuite "soumettre" en cliquant sur le bouton du bas.
Cjoint crée un lien, que tu dois copier pour le coller ici, si tu veux qu'on y ait accès.

Tu dois pouvoir retrouver l'adresse dans l'historique de ton navigateur. Sinon, recommence l'opération.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Page IE Changée

Messagede Grare » 10 Juil 2004, 22:38

Excuse-moi.

Je n'ai pas l'habitude...

Voila le lien :

http://cjoint.com/data/hkxGYQtxMQ.htm

Je pense que c'est cela que tu attendais.

Merci,

Grare
Grare
 

Messagede Vazkor » 10 Juil 2004, 22:50

Oui, c'est bien cela.

J'y jette un oeil méchant.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 10 Juil 2004, 23:28

Salut,

Voilà le résultat de l'autopsie.

J'ai élagué le log pour ne garder que quelques extraits significatifs.

Pest: KaZaA Pest Patrol considère KaZaA comme une peste. D'où un paquet d'alertes (147). Il n'a pas tout à fait tort!
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\classes\adm25.adm25

===============================================
Pest: TOPicks
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\classes\appid\adm.exe|appid
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: TOPicks
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\classes\appid\altnet signing module.exe|appid
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
===============================================

Pest: DelFin Media Viewer Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\common files\dpi Date: 27/03/04 17:52:20
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored
~~~
Pest: DelFin Media Viewer Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\delfin Date: 23/06/03 22:20:26
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored
===============================================
Pest: EUniverse.PerfectNav Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\perfec~1\bho Date: 04/01/04 19:51:00
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored
~~~
Pest: EUniverse.PerfectNav Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\perfectnav Date: 04/01/04 19:51:00
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty

Action: Ignored
~~~
Pest: EUniverse.PerfectNav Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\perfectnav\BHO Date: 04/01/04 19:51:00
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored

===============================================
Pest: HuntBar.BTIn Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\common files\wintools Date: 13/06/04 22:33:44
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored
~~~
Pest: HuntBar.BTIn?
Pest Info: Category: Adware Background Info: Click here
File Info: In File: C:\Program Files\common files\wintools\WSup.exe Date: 24/06/04 05:45:50
Certainty: Suspected Threatens: Confidentiality, Liability Risk: Moderate - this file can be executed! Advice: Delete or quarantine
Action: Ignored

...
===============================================



Pest: TopSearch Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\altnet Date: 04/01/04 19:42:34
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored
~~~
Pest: TopSearch Directory
Pest Info: Category: Adware Background Info: Click here
File Info: In Directory: C:\Program Files\altnet\My Altnet Shares Date: 04/01/04 19:42:34
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored

...

===============================================

Pest: ClipGenie
Pest Info: Category: Adware Author: [ClipGenie, Inc.] Release Date: 11/07/2003 0:00:00 Background Info: Click here
File Info: In File: C:\Program Files\MediaLoads\medialoads\media\channels\content.js PVT: -1709352588 MD5: 1187b4ae8349500722722fc4d13fc87d Date: 16/07/02 02:29:20 File Analysis: Look up with MD5 (recommended) or PVT.
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Moderate - this file can be executed! Advice: Delete or quarantine
Action: Ignored
~~~
Pest: ClipGenie
Pest Info: Category: Adware Author: [ClipGenie, Inc.] Release Date: 11/07/2003 0:00:00 Background Info: Click here
File Info: In File: C:\Program Files\MediaLoads\medialoads\media\channelstyles.css PVT: -124498593 MD5: 6cf8c6596a495fb81b52e76b63974fea Date: 28/03/02 08:01:00 File Analysis: Look up with MD5 (recommended) or PVT.
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or quarantine
Action: Ignored

...

===============================================

Pest: TrojanDownloader.Win32.Swizzor.an
Pest Info: Category: Downloader Release Date: 06/11/2004 0:00:00 Background Info: Click here
File Info: In File: C:\Program Files\MULTI CLOCK ONE\memo 4.dll
PVT: -1078373776 MD5: 69dbd036f862718021a61111a9c1e955 Date: 28/06/04 21:31:02 File Analysis: Look up with MD5 (recommended) or PVT.
Certainty: Confirmed Threatens: Liability Risk: Moderate - this file can be executed! Advice: Delete or quarantine
Action: Ignored
Ca c'est la merde que tu dois absolument virer!

===============================================



Lance Hijackthis et mets nous le rapport du scan ici.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Page IE Changée

Messagede Grare » 11 Juil 2004, 10:32

Bonjour,

Un grand merci, Vazkor pour le temps que tu as consacré à analyser le résultat de PestPatrol.
J'ai bien compris qu'il me fallait tuer le TrojanDownloader.Win32, ainsi que tout ce qui concerne KaZaA. D'ailleurs, j'ai déjà viré KaZaA.
Mais pour les autres, je m'interroge avant de faire des bêtises (TOPicks, Delfin Media, EUniverse, HuntBar,TopSearch, ClipGenie) : Faut-il que je ne vire que les 2 ou 3 items que tu m'as listés, ou l'ensemble de la catégorie. Ce qui reviendrait, je crois à virer les 202 items relevés par PestPatrol.
Si seulement les 2 (3 pour EUniverse), pourquoi ceux-là et pas les autres qui ont l'air d'avoir les mêmes caractéristiques.
Mon anglais informatique a des limites et je suis perplexe devant les commentaires de PestPatrol :
"Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete when empty
Action: Ignored "
Certitude : confirmée, menace : confidentielle et responsable, risque : faible, avis : détruire quand vide, Action : ignorée ?
C'est un peu charabia. Sans compter les faux amis. Je suppose que
"this file can be executed!" signifie qu'on peut le tuer sans vergogne et non qu'on peut l'exécuter ! (au sens informatique)....

Encore une fois, merci et chapeau. J'espère être arrivé à bout du problème.

Grare
Grare
 

Messagede Kethryes » 11 Juil 2004, 10:44

euh tu te trompe sur le sens de
this file can be executed!
ça signifie que ce fichier dangeureux peut etre executé maintenant là tout de suite par un programe malveillant et que t'as intereret a le suprimer vite fait (enfin j'exagère un peu mais en gros c'est ça)
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede Vazkor » 11 Juil 2004, 10:49

Bonjour,

"Confidentiality, Liability Risk: Low" je traduirais: Confidentialité, Risque de fiabilité (instabilité): faible

"this file can be executed!" Cela signifie que le fichier peut être exécuté, sans plus. Mais avec tous les risques que cela pourrait comporter.

Ne te fie pas trop au rapport de Pest Patrol, qui est un peu trop pointu, parfois. Mais je préfère avoir 5 fausses alertes qu'un vraie méchante non-détectée.

A toi de vérifier si ce qu'il signale, tu l'as bien installé volontairement en sachant ce que tu faisais. Je suppose que tu connais les programmes, sauf le trojan downloader bien sûr.

Je te conseille de lancer un hijackthis pour voir ce que lui découvre.

La version payante de Pest Patrol c'est pas donné mais c'est un bon choix à 35 € environ TTC. A toi de voir!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Page IE Changée

Messagede Grare » 11 Juil 2004, 21:19

Bonsoir,

Alors, finalement, j'ai supprimé tout ce que m'a signalé Pest Patrol.

Mais SpyBot R&D ne marchait plus. Alors, je l'ai désinstallé et réinstallé avec les réglages comme indiqués dans LaManip.
J'ai 0 mouchard !
avec CWShredder, mon système est "completely clean" ;
Avec Ad-Aware, une bestiole a été enlevée : une clé de la BDR qui concernait justement le Control Panel de la Home Page ;
Je crois que prcview me donne également des choses normales.

Et pourtant, j'ai toujours cette page de démarrage qui change régulièrement pour "mysearchnow.com".
Alors, que faire d'autre ?

Je colle ici le log de HijackThis :


Logfile of HijackThis v1.97.7
Scan saved at 22:12:23, on 11/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAM FILES\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\VPTRAY.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYWARESTOPPER\SPYWARESTOPPER.EXE
C:\PROGRAM FILES\FLAPMETATIME\DVD ATOM.EXE
C:\PROGRAM FILES\PESTPATROL\PPCONTROL.EXE
C:\PROGRAM FILES\PESTPATROL\PPMEMCHECK.EXE
C:\PROGRAM FILES\PESTPATROL\COOKIEPATROL.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAM FILES\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAM FILES\ATNOTES\ATNOTES.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\OLYMPUS\CAMEDIA MASTER 4.2\CM_CAMERA.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PRCVIEW\PRCVIEW.EXE
C:\NOSDOCUMENTS\GéRARD\DIVERSORDI\FICHIERSRECUS\HIJACKTHIS.EXE

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe
O4 - HKLM\..\Run: [SpywareStopper] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYWARESTOPPER\spywarestopper.exe
O4 - HKLM\..\Run: [PLANJUNK] C:\PROGRA~1\FLAPME~1\dvd atom.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Raccourci vers ATnotes.lnk = C:\Program Files\ATnotes\ATnotes.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3316666667


Merci si tu pouvais y voir quelque chose.


Grare
Grare
 

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités