log clamwin

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

log clamwin

Messagede stheto » 07 Mar 2005, 16:22

Bonjour à tous
Ma question est la suivant:lorsque l'on fait un scan avec un antivirus de type clamwin et qu'il retrouve qq infections communiquées à la fin par le log , y'a t'il des manips à faire pour s'en débarasser ou cela est-il fait automatiquement par clamwin?
Autre question:est-ce normal qu'un scan soit si long (1h30 pour le disque c: qui fait 15Giga)?
Merci de votre aide
PS:vous poster le log de clamwin vous aiderait-il?si oui c'est sans problème
Ciao :wink:
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede piratebab » 07 Mar 2005, 19:56

Bonjour,
clamwin est relativement récent, et je ne pense pas que quelqu'un ai beaucoup de recul avec cet antivirus pour te répondre.
Personellement j'utilise clamav, sous linux, qui est le parent de clamwin.
Il est effectivement assez lent lors d'un scan complet, ça peut prendre plusieurs heures sur mon systéme principal (2* 120 G), mais il est terriblement puissant car il decompresse de nombreux formats de fichiers, y compris les fichiers de mail, chose que ne fait pas forcement un antivirus plus basique. Pour avoir un équivalent, il faut que je mette les réglages au maximum dans kaspersky (lorsque je reviens de temps à autre sous windows), et les temps sont équivalent à ceux de clamav.
Tu semble etre un des premier à poser des questions sur clamwin.
Peux tu nous donner tes impressions (stabilité, ergonomie, ..).
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5729
Inscription: 30 Aoû 2004, 18:20

Messagede stheto » 07 Mar 2005, 20:02

Bonsoir
J'aimerais beaucoup vous aider à mon tour à propos de clamwin mais il faut avouer que je suis un reel novice et c'est pour vous situer la premiere fois que j'utitlise un antivirus depuis plus d'un an que je suis en adsl :oops:
Pour ce qui est de la stabilité je n'ai eu aucun pb lors du scan qui s'est tout à fait bien passé ; par ailleurs il parait simple d'utilisation malgré le fait que les menus soient en anglais
Voila ce que je peux dire de la premiere utilisation
Bonsoir :wink:
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede piratebab » 07 Mar 2005, 20:22

Bonsoir,
et merci pour ta réponse. Si il est en Anglais, je comprends pourquoi peu de Français l'utilise. Car la plupart des internautes sont peu au fait des problémes de sécurité informatique, mais en plus il sont rébarbatifs à la langue Anglaise! Donc peu de chance d'en trouver un qui à clamwin!

Si tu viens seulement d'installer un antivirus aprés un an d'ADSL, je suppose que tu n'a pas non plus de parefeu et d'anti spyware ?
Cours vite sur le forum assiste Log HiJackThis exécuter le minimanip pour faire un bilan complet de ta machine, et installer un minimum de protection.
Puis ensuite tu te plonges dans la lecture du site de Pierre, Assiste.com, pour voir ce à quoi tu as (peut étre) échappé!
Interrogation écrite Lundi prochain!
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5729
Inscription: 30 Aoû 2004, 18:20

clamwin

Messagede stheto » 11 Mar 2005, 19:04

Bonsoir à tous
Peut etre personne ne pourra me repondre mais je pense que certains connaissent clamav et que celui ci se gère comme clamwin sous windows alors voila ma question:une fois le scan fait sous clamwin comment éliminer les fichiers trouvés par celui ci puisqu'il ne propose rien d'autre que sauvegarder le log ou bien fermer la fenetre?
Quelque chose m'échappe je pense
Merci à tous
A+ :wink:
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede piratebab » 11 Mar 2005, 20:03

Bonsoir,
avec clamav, je ne connais que les commandes en ligne pour ces opérations. Va voir sur le forum Linux et moi, il y a un post sur le sujet.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5729
Inscription: 30 Aoû 2004, 18:20

Messagede stheto » 12 Mar 2005, 00:36

Salut
Je ne sais pas si je me suis bien fait comprendre :je voulais savoir si qqn pouvait m'expliquer comment supprimer les malwares trouvés par le scan de clamwin puisqu'il ne le fait pas lui meme
En fait je ne comprends pas bien ce qu'est le forum "linux et moi"??
Merci A+ :wink:
PS je suis sous windows XP
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede piratebab » 12 Mar 2005, 10:58

Bonjour,
soux Linux, clamav met les fichiers infectés en quarantaine.
aprés quelque recherches sur clamwin, il semblerait qu'il fait de même. Il n'a pas de module de test à l'ouverture de fichiers. Il ne travaille que par scan de disques, ou par analyse de piéces jointes à un email qu'il neutralise si elle contiennent un virus. Sa fonction un donc plus préventive que curative.
C'est aussi le cas de la majorité des autres antivirus. Ils sont souvent incapable de désinfecter un fichier. Chaque famille de virus, voire chaque virus, nécessite un traitement particulier pour étre éradiqué.

Poste nous un log des résultats afin de voir quel virus c'est logé dans ton systéme. Le plus simple est d'aller dans le forum LoghiJackThis http://assiste.forum.free.fr/viewforum.php?f=70 et d'appliquer la manip expliquée dans un post it.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5729
Inscription: 30 Aoû 2004, 18:20

Messagede stheto » 13 Mar 2005, 22:24

Salut
Ca y est :en lisanr un peu plus serieusement mon log clamwin je me suis en effet apercu que les fichiers trouvés étaient envoyés vers le dossier de quarantaine de clamwin donc plus de souci
Par contre voici mon log highjack comme tu me l'as demandé(j'ai un peu peir d'etre redirigé mais on verra bien)
A+
Logfile of HijackThis v1.99.1
Scan saved at 16:24:41, on 13/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freesbee.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\utilitaires\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [KAZAA] "E:\Kazaa Lite K++\kpp.exe" "E:\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY
O4 - HKLM\..\Run: [MS Unix Binary] hypertrm.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] hypertrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O8 - Extra context menu item: Chercher avec Copernic - file://D:\Utilitaires\Search Extension.htm
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7790868973
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} -
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede Vazkor » 14 Mar 2005, 04:40

Bonjour,

WOW!
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Tu dois absolument installer le SP1 voire le SP2 de Windows XP, sinon tous nos efforts ne serviront à rien.
Fais aussi toutes les mises à jour critiques via Windows Update.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm A fixer sans hésiter
O8 - Extra context menu item: Chercher avec Copernic - file://D:\Utilitaires\Search Extension.htm A fixer sans hésiter
O4 - HKLM\..\Run: [MS Unix Binary] hypertrm.exe ???
O4 - HKLM\..\RunServices: [MS Unix Binary] hypertrm.exe ???
Ces [MS Unix Binary] bizarres et deux lancements différents comme application et comme service, cela me paraît très louche!
A fixer, plus que probablement!

hypertrm - hypertrm.exe - Process Information
http://www.liutilities.com/products/win ... /hypertrm/


Process File: hypertrm or hypertrm.exe
Process Name: Microsoft HyperTerminal <- Rien à voir avec ce [MS Unix Binary] qui paraît forgé de toutes pièces!!!

Description:
hypertrm.exe is a process belonging to the Microsoft Windows utility HyperTerminal which offers Telnet facilities. This is a non-essential process. Disabling or enabling this is down to user preference

En français, processus non essentiel, laissé à l'appréciation de l'utilisateur.

Sous Windows 2000, ce fichier se trouve dans Program Files\Windows NT, ne fait que 7 Ko et sa description est HyperTerminal Applet avec un Copyright © Hilgraeve, Inc. 1999

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe Inutile au démarrage
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe Inutile au démarrage
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot Inutile au démarrage, mais difficile de s'en débarrasser sauf à virer cette m**de de RealPlayer
O4 - HKLM\..\Run: [QuickTime Task] "E:\utilitaires\qttask.exe" -atboottime Inutile au démarrage
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe Inutile au démarrage
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE Plus que sûrement inutile, voir la Pacman

O4 - HKLM\..\Run: [KAZAA] "E:\Kazaa Lite K++\kpp.exe" "E:\Kazaa Lite K++\KazaaLite.kpp" /SYSTRAY Est-ce bien utile au démarrage?
KazaaLite peut t'amener à télécharger bien des cochonneries. Prudence!



O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx
Ce contrôle ActiveX me paraît suspect. A fixer sauf si tu connais bien le site!

L'analyse automatique de ton log par un robot est ici. J'en ai tiré l'essentiel
http://hijackthis.de/logfiles/c3cea2066 ... c1aae.html

Rappel important sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI),
- en mode sans échec (voir ICI).
- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
- toujours en mode sans échec, vider la corbeille et les fichiers temporaires d'Internet Explorer.
- toujours en mode sans échec, renommer le fichier hypertrm.exe en hypertrm.exe_

Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet).

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).

A suivre,
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités