la suite... pour voir si je me debrouille bien...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

la suite... pour voir si je me debrouille bien...

Messagede vince007 » 28 Fév 2005, 19:02

me re...

voilà le log de l'ordinateur du reste de la famille.. :D j'ai déjà fait du nettoyage, et il n'est pas protégé non plus. il est sous xp.

Logfile of HijackThis v1.99.1
Scan saved at 18:47:22, on 28/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\DOCUME~1\vincent\LOCALS~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll
O4 - HKLM\..\Run: [o2cd] C:\Program Files\O2Micro\AudioDJ\o2cd.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKCU\..\Run: [Zero Knowledge Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE


voilà... est ce que je peux supprimer ceux que j'ai surligner en rouge? est ce que ca ne va gener a l'execution de programme?? du type yahoo messenger?
il y en a un quand meme qui me gene... c'est le adtools.exe.... je ne sais pas ce que c'est... et d'ou il provient.
je sais que la semaine derniere, ma fille a installé un soft qui s'est avéré etre un virus (simple a detecter, il avait installer une toolbar dans IE). mais je l'ai eradiqué a la main... (je n'ai pas d'antivirus, je fais de temps a autre des scans sur secuser en ligne).

une derniere question... j'ai sur mes 4 ordinateurs en fonctionnement a la maison aucun anti virus. je n'ai jamais trouvé de virus, sauf msblast, et celui de la semaine derniere installé par la main de l'homme (en l'occurence celle de ma fille ;)). mon routeur/firewall est il suffisant.? les regles a la maison sont:
1) pas d'ouverture de pieces jointes et ou de courriel dont on ne connait pas le destinataire.
2) pas de dl sur kazaa ou autres.
3) peu ou pas de visite sur des sites de warez... (sans ma permission).
visiblement cette "hygiene" de vie informatique a l'air de fonctionner.? quand pensez vous?

par avance merci du temps consacré.
cordialement
may the force be with u
vince007
 
Messages: 11
Inscription: 28 Fév 2005, 16:47
Localisation: blois

Messagede Jim Rakoto » 28 Fév 2005, 20:15

Salut,


ceci est un adware
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

En principe : passer par Ajout/suppression de programme , le désinstaller.

l'analyse avec AdAware devrait donner ceci :

Vendor:WindUpdates
Category:Malware
Object Type:Process
Size:-
Location:C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE


O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
n'est pas un programme essentiel

Les autres peuvent être arrêtés également.

Cette ligne me semble bizarre. O4 - HKLM\..\Run: [o2cd] C:\Program Files\O2Micro\AudioDJ\o2cd.exe
Pas facile de trouver une info sur 02cd.exe
Si tu connais OK

La suite arrive

A+

[édité] le pare-feu routeur est de type matériel. En général on y associe un pare-feu logiciel.
Tu pourrais faire un test avec PCFlank http://www.pcflank.com/
dans colonne de gauche, tu fais les tests du système. tu verras en fonction des résultats.

J'ajouterais au minimum tea-timer afin de surveiller les modifications registre.
Spywareblaster et Spywareguard devraient de protéger déjà pas mal.
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede vince007 » 28 Fév 2005, 20:27

bonsoir jim.

ok, c'est ce que je pensai... un de reste des exploits de ma fille.
je pense l'avoir eradiqué..
pas de probleme pour audiodj. c'est un soft qui permet de faire fonctionner le cd-rom ordinateur eteint (pour s'en servir de lecteur de cd audio et mp3).

voici le log avec ces defauts corrigés. je reboot, au cas, ils seraient revenus.
les elements surlignés en vert me semblent etre bon.

Logfile of HijackThis v1.99.1
Scan saved at 20:22:22, on 28/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\vincent\LOCALS~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Program Files\Zero Knowledge\Freedom\FreeBHOR.dll
O4 - HKLM\..\Run: [o2cd] C:\Program Files\O2Micro\AudioDJ\o2cd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Zero Knowledge Freedom] C:\Program Files\Zero Knowledge\Freedom\Freedom.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Program Files\NETGEAR WG311v2 Adapter\wlancfg5.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE



par avance merci.
may the force be with u
vince007
 
Messages: 11
Inscription: 28 Fév 2005, 16:47
Localisation: blois

Messagede Jim Rakoto » 28 Fév 2005, 20:35

Re,

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

peut être désactivé, processus qui n'est pas indispensable
Il crée les rapports d'erreurs à envoyer à Microsoft en cas de plantage.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede vince007 » 28 Fév 2005, 21:09

re bonsoir.
merci jim.
un truc qui est tres pratique et que j'utilise a chaque install de windows, c'est sandra sisoft.
il permet dans l'assistant de te detecter tout les services qui ne servent a rien. (assistant reglage de la performance).
je viens de regarder, et j'avais une vieille version de sandra. en installant la nouvelle, il m'a conseille de desactiver ce service.

toujours bon a savoir.

cordialement
may the force be with u
vince007
 
Messages: 11
Inscription: 28 Fév 2005, 16:47
Localisation: blois

Messagede nickW » 28 Fév 2005, 22:23

Bonsoir,

La procédure pour supprimer la ligne "kernelfaultcheck" se trouve dans la liste de Pacman (Voir ICI)
Utilisé en liaison avec des vidages mémoire - vous pouvez les désactiver - en faisant un clic droit sur Poste de travail, en choisissant Propriétés puis l'onglet Avancé. Cliquez sur le bouton Paramètres dans 'Démarrage et récupération'. Dans le cadre du bas - sous 'Écriture des informations de débogage' - cliquez sur la flèche vers le bas puis choisissez 'aucun' - OK pour valider


Salut,

PS: pour les autres lignes O4, voir ma réponse au premier message.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 47 invités