log clamwin

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Sphinx » 22 Mar 2005, 01:37

Salut,

L'outil d'éradication que tu proposes, nickW, est le même que j'ai proposé au début, et qui génère une fenêtre DOS flash puis disparaît.
C'est ce qui avait alarmé Stheto...
Voilà pourquoi j'ai proposé celui de KAV, qui est plus sympa en ligne de commande, et en plus détecte d'autres virus avec.
...

Ensuite, pour hypertrm.exe:
http://vil.nai.com/vil/content/v_100127.htm
Je ne pense pas que McAfee soit un site de sécu fantôme :)
Google renvoie également cette page, mais plus dispo (grrr je hais les rachats dans tous les sens...)
www.pestpatrol.com/ pest_info%5Cfr%5Ci%5Ci-worm_magistr_b.asp


Maintenant... bon... on peut aller loin comme ça, c'est pas le but, mais je serai le premier surpris de trouver du magister sur la machine. Juste un vieux réflexe ;)
Bref, comme quoi tout le monde peut se faire avoir par de faux sites de sécurité :( . Le pire est que pour l'instant, mis à part ce coup douteux de magister, les rares infos que j'avais prises sur ce site se sont révélées exactes. J'ai pas de bol...

De toute façon, et pour finir, à 99,9% de chances, hypertrm correspond à un bon vieux processus plus ou moins clair, faisant partie du mammouth nommé Whistler qui sert quotidiennement à bon nombre d'entre nous à faire marcher nos connexions internet. Et par là même, à se faire infecter... :shock:
MDR

Allez @+++ et don't worry pour le fichier en question :)
Sphinx, le prédateur du bug ;)
NT 5.x/Sarge en multiboot, Viguard, KAV, Sophos, F-Prot, AVAST, A²free, Antivir, Kerio, Sygate, Outpost, Thunderbird/firefox, OOo 2, Spybot/Adaware, Ewido, Spampal, proxomitron/webwasher, 802.11g+, Spamassassin, ClamAV, Prelude, Guarddog, etc
Sphinx
 
Messages: 42
Inscription: 19 Mar 2005, 23:51
Localisation: Paris

Messagede easy » 22 Mar 2005, 09:44

Salut à tous,

hypertrm est un programme telnet tout ce qu'il y a de clair, présent sous windows depuis des lustres et qui permet entre autres d'émuler une session Minitel (ça nous rajeunit pas !!).

Pour vous en convaincre et si vous avez encore un modem rtc, exécuter, hypertrm, par défaut ? (plutôt non puisque ce n'est qu'un test), tapez minitel (ou n'importe quoi), OK puis 3611, OK puis Modifier pour décocher "utliser le code du pays et l'indicatif régional" puis Composer, patience et des fois ça marche...

Je n'avais plus fait ça depuis des lustres et je viens de m'apercevoir que Kério laissait tout ceci se faire dans la plus grande indifférence...??

J'ai lu ce post en diagonale mais je pense qu'il n'a rien à faire au démarrage et qu'il suffit de le virer comme l'indiquait Vazkor sous C:\program files\windowsNT ou partout ailleurs, d'ailleurs.

A +
"La vérité est disséminée" Jacques Derrida
"En informatique aussi" Moi
easy
 
Messages: 69
Inscription: 07 Nov 2004, 17:18

Messagede Sphinx » 22 Mar 2005, 12:39

MDR

Tu as parfaitement raison Esay au sujet du processus.
C'était juste un trai d'humour de ma part sur la quantité de process et leur rôle pas toujours clair dans l'architecture de Win :)

J'avais également déjà posté un lien qui montrait l'historique et le lien à 98 de ce fichier ;)
(tout y est expliqué ou presque)

Non je faisais référence par ex au fameux svchost et aux nombreuses connexions qu'il essaie d'ouvrir un peu dans tous les sens et qui font biper le firewall (il est responsable entre autres de l'ouverture du port 135).
Et il y a également un nombre assez faramineux de fichiers dans C:\Windows (ou winnt), et on n'a pas toujours de la doc bien claire sur eux...

Donc je pense qu'on se comprend assez bien, malgré la longueur du sujet ;)

@+++
Sphinx, le prédateur du bug ;)
NT 5.x/Sarge en multiboot, Viguard, KAV, Sophos, F-Prot, AVAST, A²free, Antivir, Kerio, Sygate, Outpost, Thunderbird/firefox, OOo 2, Spybot/Adaware, Ewido, Spampal, proxomitron/webwasher, 802.11g+, Spamassassin, ClamAV, Prelude, Guarddog, etc
Sphinx
 
Messages: 42
Inscription: 19 Mar 2005, 23:51
Localisation: Paris

Messagede Vazkor » 22 Mar 2005, 14:06

Bonjour,

Juste quelques précisions en passant:
Hyperterminal (hypertrm.exe) est un programme légitime s'il se trouve à son emplacement normal dans le dossier \Program Files\Windows NT. Si c'est le cas je conseille de le renommer, parce qu'il y a peu de chances que vous en ayez jamais besoin.
Si ce n'est pas le cas il n'y a bien sûr aucun risque à le supprimer.

Pour l'émulation DOS sous W2k/XP elle fonctionne très bien, pour autant que le programme ne fasse pas appel à des commandes qui n'existent plus.
Exécuter un fichier .com ou .bat sous XP peut ouvrir brièvement une fenêtre DOS, mais cela ne signifie pas que l'action n'a pas été effectuée.
Il y a seulement un problème s'il fallait ajouter des paramètres à la ligne de commande, ce qui oblige à passer par l'invite de commandes (Démarrer > Exécuter et taper cmd)

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sphinx » 23 Mar 2005, 03:25

salut

Chacun sa méthode. Moi je laisse le fichier tel quel sur le disque, pour le cas où un jour une autre application (ou le système) veuille y faire appel. Sinon bonjour les mélis mélos...
Par contre je nettoie les modules de démarrage et je m'assure qu'il n'est pas lancé à chaque démarrage du PC.


Je sais très bien que l'émulation DOS sous 2000/XP marche très bien ;) sauf dans certains cas, par exemple selon le nombre de fichiers ouverts par un même processus, il aime pas trop les anciennes limites de DOS (256).
Je voulais juste trouver quelque chose de plus rapide, plus facile à utiliser et plus clair.

Mais cependant, dans notre exemple, s'agissant d'un ".com" et d'un scanner, si le fichier lancé a généré une fenêtre "flash" de DOS, c'est que oui il a été lancé mais n'a fait aucune action (pour l'avoir vu tourner). Donc son effet est nul. Il doit lui manquer par exemple la lettre du disque ou le chemin à analyser... (nous sommes d'accord).
Voilà pourquoi j'ai proposé l'utilitaire de KAV labs, qui lui met des avertissements en ligne de commande, empêchant donc la fermeture inopinée du programme, même s'il y a des erreurs sur les éléments à analyser.

Ce ne sont que des points de détail me semble-t-il, non ? :)

@+++


PS: pour le coup de Kerio et du hypertrm, ce n'est pas parce qu'il faut sélectionner l'interface à surveiller? (par défaut, le modem ADSL ou le routeur, mais pas le modem RTC... ) non?
Sphinx, le prédateur du bug ;)
NT 5.x/Sarge en multiboot, Viguard, KAV, Sophos, F-Prot, AVAST, A²free, Antivir, Kerio, Sygate, Outpost, Thunderbird/firefox, OOo 2, Spybot/Adaware, Ewido, Spampal, proxomitron/webwasher, 802.11g+, Spamassassin, ClamAV, Prelude, Guarddog, etc
Sphinx
 
Messages: 42
Inscription: 19 Mar 2005, 23:51
Localisation: Paris

Messagede stheto » 23 Mar 2005, 11:55

Salut à tous
Et ben en voila des informations à gerer et integrer dans ma petite experience informatique
En tous cas j'ai suivi la marche à suivre fixmagi.com en commande msdos et le resultat est :0 fichier infecté
Donc pas de magister sur mon ordinateur:c'est plutot rassurant sauf qu'il bugue encore un peu et sans savoir pourquoi
Aujourd'hui c'est la barre des taches en bas du bureau qui ne repond plus lorsque je veux restaurer des programmes réduits
Je ne peux le faire qu'avec ctl alt supp!

Concernant le log highjack je ne comprends pas tout car j'avais fixé la ligne hypertrm.exe ainsi que les lignes windOws Updater et elles sont toujours là sur l'analyse ce jour
Il doit donc bien y avoir une infection quelque part qui me les redemarre à chaqui fois non??

Il faudra bien que je me lance dans un reformatage un jour ou l'autre:à ce propos et puisque je viens de recuperer un vieux portable , comment puis je transferer les programmes du fixe vers le portable ,est-ce compliqué ou bien dans l'ideal je me disais que peut etre un cable usb entre deux et un glisser/deposer ca serait le top mais faut ptete par réver?

A+

Logfile of HijackThis v1.99.1
Scan saved at 11:36:37, on 23/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freesbee.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 7790868973
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} -
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} -
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe

Ps:petite erreur de ma part , les lignes hypertrm et wind0ws Updater ne sont plus là mais c'est bien parce que je je les ai supprimées de nouveau aujourd'hui
A+
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede stheto » 30 Mar 2005, 10:22

Bonjour à tous
Je me permets de revenir vers vous car je pense que grace à votre aide je suis presque arrivé à regler tous les problemes excepté un:
-au premier demarrage de l'ordinateur le sablier apparait lorsque placé sur la barre des taches et cela dure au moins une minute avant que cette barre des taches ne soit operationnelle
-encore ce probleme d'impossibilit" de restauration des elements reduits dans la barre des taches à part par ctl+alt+supp

Ces deux pb doivent etre liés non?
Allez , j'en appelle encore une fois à votre solidarité (j'espere pour la derneiere fois)

A+

PS:si qqn connait un lien sur qui explique comment transferer des donnees entre un fixe et un portable je suis preneur
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede piratebab » 30 Mar 2005, 10:45

Bonjour,
le plus simple pour transférer des données entre 2 PC est d'utiliser un cable éthernet croisé.
Tu partages les fichiers à transférer sur le PC source.
Sur le PC destination tu utilises l'icone voisinage réseau pour voir les fichiers partagés.
Un simple copier coller et tu transfére tes fichiers.
Avatar de l’utilisateur
piratebab
Modérateur
 
Messages: 5729
Inscription: 30 Aoû 2004, 18:20

Messagede stheto » 30 Mar 2005, 15:10

Salut
Merci pour ces conseils maisn je ne dispose de systeme ethernet sur les ordis
Est ce que ces conseils marchent aussi avec un cable USB entre les deux?
A+
stheto
 
Messages: 55
Inscription: 11 Fév 2005, 12:43

Messagede Invité » 30 Mar 2005, 15:44

salut,

Non (sans logiciel exprès pour) , mais avec une clé du même nom, oui.

@ +
Invité
 

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 17 invités