[ok] Blocage de la zone locale (?) hostile or not ?

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok] Blocage de la zone locale (?) hostile or not ?

Messagede Félix le Chat » 09 Sep 2004, 11:35

Bonjour,

Après application d'une purge sécuritaire, j'ai trop durci ma zone locale (?) et je voudrais bien revenir en arrière :

- à l'ouverture de Norton j'ai une fenêtre d'alerte "les parmètres de sécur ité actuels ne vous permettent pas d'exécuter les contrôles ActiveX sur cette page. En conséquence, cette page ne sera peut-être pas affichée correctement." très irritant, bien que Norton ne soit pas affecté.

- dans internet explorer à l'ouverture d'un fichier .exe j'ai une fenêtre d'alerte "les paramètres actuels ne vous permettent pas de télécharger ce fichier" très protecteur... trop...

Dans un premier temps j'ai passé tous les paramètres d'internet explorer à leur niveaux les plus bas... pas suffisant... d'où probablement intervention dans le registre, mais sur quelles clés ?

Réponse de Vazkor : "Dans IE Options ... Sécurité, clique sur le bouton Personnaliser des différentes zones et remets les paramètres par défaut. Cela devrait suffire."

Ma réponse : "déjà fait sans succès, je pense que ce sont des clés qui ont été vérolées après mes 2 crash ? d'où p'tit log HijackThis... merci à tous pour l'anlyse.. Félix le Chat

====================================

StartupList report, 09/09/2004, 10:38:17
StartupList version: 1.52.2
Started from : C:\Program Files\HijackThis\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

[Log Startup List bien trop volumineux supprimé par Vazkor]
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Vazkor » 09 Sep 2004, 11:46

Bonjour,

Ce que tu nous as mis là est beaucoup trop long et ne révèle presque rien. C'est le rapport de Startup List.

Tu dois te contenter de lancer HijackThis 1.98.2 et cliquer sur le bouton Scan qui apparaît en bas à gauche.
Cela va créer un rapport contenant un entête, la liste des process et des lignes marquées Oxx, Fxx, Rxx etc.
Tu cliques ensuite sur le même bouton qui s'appelle maintenant Save Log et tu nous copies ce rapport dans un nouveau message en réponse à ceux-ci.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

OK

Messagede Félix le Chat » 09 Sep 2004, 13:54

Logfile of HijackThis v1.98.2
Scan saved at 14:51:52, on 09/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Promon.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\ExeGo\ExeGo.exe
C:\Program Files\NetLaunch\launch.exe
C:\Program Files\Roxio\GoBack\GBTray.exe
C:\Program Files\Iomega\Tools_NT\IMGICON.EXE
C:\Program Files\fastfolder by bb v323\fastfolder.exe
C:\Program Files\SharpReader\SharpReader.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mmc.exe
C:\WINNT\system32\dmremote.exe
C:\WINNT\System32\dmadmin.exe
C:\Program Files\PREVX\Prevx Home\SAGUI.exe
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\Program Files\ssmunof\SysSafe.exe
C:\Program Files\maxthon_100220\Maxthon.exe
C:\Program Files\FoxMail\Foxmail.exe
C:\Program Files\Netcom\Netcom.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\Program Files\Panicware\Pop-Up Stopper\PSFree.exe
C:\Program Files\Spam-Aware\saapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ê 1%2O
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Administrateur/BUREAU/PC.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O4 - HKLM\..\Run: [ExeGo v2.4] C:\Program Files\ExeGo\ExeGo.exe
O4 - HKLM\..\Run: [NetLaunch] C:\Program Files\NetLaunch\launch.exe
O4 - Startup: c-program files-fastfolder by bb v323-fastfolder.LNK = C:\program files\fastfolder by bb v323\fastfolder.exe
O4 - Global Startup: Prevx Home.lnk = C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\maxthon_100220\config/blacklist.htm
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EE886DD-0529-4DDF-95E1-805F1FD0A9C5}: NameServer = 212.151.136.246 130.244.127.170
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede bay » 09 Sep 2004, 15:02

Bon jour, il y a plusieurs logiciels qui font double ou triple emploi !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Kethryes » 09 Sep 2004, 17:26

Salut, c'est étrange, il y a une enaurme liste de programes lancés et il n'y a que 4 lignes O4 c'est a dire 4 programes lancés au demarage !!!
Ce ne serait pas ZoneAlarm qui serait trop restrictif par hasard ?
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede Vazkor » 09 Sep 2004, 19:31

Bonsoir,

Voir aussi si les différents programmes de sécurité ne se marchent pas sur le pieds et ne bloquent pas tout.

Ne garder que les principaux en revoyant les options des programmes.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Hijack...

Messagede Félix le Chat » 10 Sep 2004, 10:08

Bonjour,

Ce qui m'inquiête, c'est la dernière ligne du log qui point vers 2 url qui me sont inconnues et qui veulent se connecter en permanence? mais bloqués par ZA... Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Vazkor » 10 Sep 2004, 10:37

Bonjour,

Les deux IP dans la dernière ligne du log devraient correspondre aux serveurs DNS de ton FAI, mais cela ne semble pas être le cas.

Un Whois montre que ces IP correspondent respectivement à deux adresses chez SWIPNET en Suède!

212.151.136.246

inetnum: 212.151.128.0 - 212.151.171.255
netname: EU-TELE2
descr: Pan-european network
descr: SWIPNET / Tele2
################################
In case of improper use, please
mail <abuse@swip.net>
################################

address: Tele2 AB/Swedish IP Network
DNS/IP Registry
LIR/Local Internet Registry
Borgarfjordsgatan 16
Box 62
S-16494 Kista
SWEDEN
-------------------------------------------------------------
130.244.127.170

inetnum: 130.244.0.0 - 130.244.255.255
netname: SE-SWIPNET-19940728
descr: Swipnet backbone

Je te conseille de fixer cette ligne et de remettre les IP des serveurs DNS de ton FAI ou d'un autre serveur français.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 29 invités