Gribouille26 Posté 17 Août 2005 Posté 17 Août 2005 Bonjour, J'ai un problème avec un worm32 spybot. Norton l'a détecté puis m'a dit qu'il l'avait enlevé. J'ai, ensuite, eu une fenêtre disant: Message de SYSTEM à ALERT le "maintenant" Microsoft Windows has detected your internet browser is infected with Spyware, Ad-aware, and Thiefware. Your privacy is in danger. We recommand an immediate system scan. Please visit http:**//swipespy.com Failure to disinfect could allow third parties access to your personel information. Puis un autre message de Norton: Worm Toxbot !! Que dois-je faire !! Gribouille
Jeanluc Posté 17 Août 2005 Posté 17 Août 2005 J'ai ensuite eut une fenetre marquée:Message de SYSTEM à ALERT le "maintenant" Microsoft Windows has detected your internet browser is infected with Spyware, Ad-aware, and Thiefware. Bonjour Gribouille26, Prudence!!! Je serais fort étonné que ce soit vraiment un message de Microsoft. Jean-Luc
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 C'est ce que je me suis dite aussi; c'est pour ça que je les ferme avec la croix en haut à droite sans faire OK. Mais je ne sais pas quoi faire... Ca revient sans arrêt !!! Gribouille
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 Maintenant, j'ai un cheval de Troie : http://securityresponse.symantec.com/avcen...an.dropper.html Et un truc qui m'ouvre des pages de pubs avec IE !!! C'est de la follie !! J'espère que ça n'a pas de rapport avec ma nouvelle connexion Numéricable ... Gribouille
Jeanluc Posté 17 Août 2005 Posté 17 Août 2005 J'ai trouvé quelques explications en anglais : http://www.askyourneighbour.co.uk/q.php?ti...cid=0&qid=59155 Je n'ai pas tout lu, mais ils disent que l'intru a profité d'une faille de sécurité de ton système et qu'il va essayer de te vendre des mises à jour de sécurité (normalement gratuites) de Microsoft. Bénéfice inattendu pour toi : un danger réel a été mis en évidence. Je suppose que tu devrais te déconnecter du réseau et faire un nettoyage antivirus et spyware de ton pc et installer un firewall correct. Il n'y a probablement aucun lien avec ton changement de connexion. Je suppose que ton agresseur essaie des adresses au hasard. Jean-Luc
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 OK, merci Jean-Luc. Tu me rassure un peu ! J'ai Ad-Aware, c'est comme Spybot ou je dois le prendre aussi ? Je n'ai jamais vraiment su ce qu'est un firewall... Et il y aussi un autre problème pour me deconnecter, que j'explique sur ce post... Gribouille
carm Posté 17 Août 2005 Posté 17 Août 2005 Bonjour Gribouille26, Je te conseille d'installer Ad-aware ET Spybot Les 2 sont complémentaires selon moi.. En tout cas Ad-aware trouve des trucs que Spybot ne trouve pas et inversement ! Et soit dit en passant à ta place je virerai Norton Tu trouves des antivirus gratuits tout aussi performant, voir plus... Good luck !
zave Posté 17 Août 2005 Posté 17 Août 2005 Bonjour Pour la défintion d'un firewall (pare-feu): http://fr.wikipedia.org/wiki/Firewall L'usage d'un firewall est insdispensable pour la sécuritée de ton ordinateur, il filtre les paquets entrant et sortant selon des règles pré-établie et certaines que tu ajouteras en indiquant ceux que tu veux laisser entrer et ceux que tu ne veux pas Je te déconseille le par-feu de windows, qui ne filtre pour ainsi dire pas les paquets sortantset qui possède des failles de sécuritées Des firewalls ils en existent beaucoups ce petit comparatif , permetta de mieux guider ton choix Personnellement je te conseil Look 'n Stop, que j'utilise maintenant est qui est vraiment très bien, tu peux trouver aisément des règles prédéfinies sur le net, qui t'aideront à le paramêtrer au mieux En ce qui concerne Spybot, je te le conseil aussi, il reconnait tout un tas de spywares, son module Tea timer t'avertis à chaque tentative de modification de clé dans la base de registre Il est conseillé aussi de coupler spybot avec Spyware Blaster, qui à l'image de la fonction vaccination de spybot empêche l'installation de spywares et filtres les activex Le seul incovénient de Spybot et qu'il ne scanne pas le disque, et qu'il n'effectue pas d'analyse heuristique, il effectue une recherche ciblée, en fonction de sa base de donnée, mais il reste malgré tout très efficace Je conseil aussi Ewido security suite, que j'ai eu l'occasion de tester, après un conseil très avisé, je dosi dire que je l'ai trouvé particulièrement efficace
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 Merci pour toutes ces infos ! J'ai de la lecture... J'alllais vous dire que c'était fini, mais viens d'avoir un autre message: Generic Host Process for Win32 Services GHP for Win32 Services a rencontré un problème et doit fermer..... J'ai viré 2 fichiers avec Norton et tout un tas avec Ad-Aware !! Gribouille
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 Mon PC s'est éteint après un compte à rebour sans aucune intervention possible !! Ca devient vraiment du pur délire... Gribouille
Jeanluc Posté 17 Août 2005 Posté 17 Août 2005 (modifié) Courage, Gribouille, on est avec toi... (Juste pour info et sans vouloir dire que c'est le bon choix) J'utilise depuis pas mal de temps : - Norton AntiVirus (avec abonnement payant aux mises à jour automatiques) - Spybot (contre les spywares; gratuit) - Sygate Personnal Firewall (firewall; gratuit) Jean-Luc Modifié 17 Août 2005 par Jeanluc
zave Posté 17 Août 2005 Posté 17 Août 2005 Mon Pc c'est éteint avec un compte à rebours sans aucune intervention possible !! As tu installé les mises à jour windows, quel service pack utilises tu? Si je te demande ça, c'est parce que ce type de problème me fais pense à un virus de type blaster, qui profite d'une faille de sécurité de windows http://www.secuser.com/alertes/2003/blaster.htm Fais un tour sur le lien et dis moi si ce compte à rebour corresponds à la capture décran?
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 Courage, Gribouille, on est avec toi... - Norton AntiVirus (avec abonnement payant aux mises à jour automatiques) - Spybot (contre les spywares; gratuit) - Sygate Personnal Firewall (firewall; gratuit) Jean-Luc <{POST_SNAPBACK}> Merci Jean-Luc. J'ai, maintenant, Norton avec mises à jour, Ad-Aware, Look'n'stop (firwall à l'essai), et je vais prendre Spybot... As tu installé les mises à jour windows, quel service pack utilises tu? Si je te demande ça, c'est parce que ce type de problème me fais pense à un virus de type blaster, qui profite d'une faille de sécurité de windows http://www.secuser.com/alertes/2003/blaster.htm Fais un tour sur le lien et dis moi si ce compte à rebour corresponds à la capture décran? <{POST_SNAPBACK}> Pas de mise à jour Windows. Effectivement, j'ai eut plusieurs alertes Worm de la part de Norton ! Et cette capture ressemble... Mais apparement, plus rien depuis que j'ai mis le Firewall.... Gribouille
xpatval Posté 17 Août 2005 Posté 17 Août 2005 Bonjour, après'm chaud et ensoleillé, Qlques conseils de mon cru: Changer Norton antivirus pour plusieurs autres, gratuit, et les faires tourner chacun, l'un après l'autre. Virer ce qui est détecté (si c'est possible). Si possible, faire un scan en ligne (via ravantivirus, ou bitdefender). Un petit coup de HIJACKTHIS, la log à faire analyser sur www.hijackthis.de, et virer ce qui est louche (demander avant...). Installer et configurer correctement un firewall... Bon courage... xpatval
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 Pour ce qui est du Firewall, je teste Look'n'stop, mais il est payant. En connaissez-vous un bon gratuit ? Gribouille
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 J'avais pas entendu avant, mais...J'ai aussi un problème de son ! J'ai un bruit de Windows comme une fenetre d'alerte qui s'ouvre, mais il n'y a rien à l'écran !!! C'est super flippant.... [edit] C'est le Firewall qui fait ce son à chaque fois qu'il arrete quelquechose !! J'ai enlevé le son, il était en option! C'est normal qu'il stop un "truc" toutes les 3 secondes en moyenne??? [/edit] Gribouille
zave Posté 17 Août 2005 Posté 17 Août 2005 Pas de mise à jour Windows.Effectivement, j'ai eut plusieurs alertes Worm de la part de Norton ! Et cette capture ressemble... Mais apparement, plus rien depuis que j'ai mis le Firewall.... C'est normal, ton firewall bloque la tentative d'attaque, je te conseil vivement de mettre à jour windows, pour t'éviter d'autres désagréments L'attaque se fait via le port 135, tu peux bloquer grâce à un petit utilitaire Zeb protrect, il permet de fermer d'autres ports sensibles Pour des firewalls gratuit, kerio est pas mal http://eservice.free.fr/firewall-gratuit.html tu as zone alarm, mais il est bien meilleur en version pro Look 'n stop et Nod32 (antivirus) malgré le fait qu'ils soient payant sont je pense les meilleurs protections du moment Comparatif, très bien fait de 8 antivirus http://www.matbe.com/articles/softs/antivirus/page1.php sinon un log hijackthis de ton pc serait une bonne idée aussi
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 J'aime pas trop les mises à jour Windows. C'est censées renforcer la sécurité, mais à chaque fois, ça créé un problème... Je vais me renseigner sur Kerio et Zone Alarm, mais si vous avez d'autres avis.... J'ai remarqué aussi qu'à chaque fois que je veux ouvrir l'appli du Firewall, j'ai une alerte Norton : Windows/mcsecure.exe W32.Spybot.worm Mon ami Google ne m'apprend rien sur ce fichier mcsecure.exe ! Gribouille
Gribouille26 Posté 17 Août 2005 Auteur Posté 17 Août 2005 J'ai fait un Hijackthis: Logfile of HijackThis v1.99.1Scan saved at 18:15:08, on 17/08/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\mcsecure.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe C:\Program Files\Soft4Ever\looknstop\looknstop.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Microsoft Office\Office\OSA.EXE c:\Program Files\Numericable\Mon Assistant Internet\bin\mpbtn.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Fff\LOCALS~1\Temp\Rar$EX00.562\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file) R3 - URLSearchHook: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Mon Assistant Internet.lnk = C:\Program Files\Numericable\Mon Assistant Internet\bin\matcli.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll O9 - Extra 'Tools' menuitem: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe C'est long.... Et j'y comprend rien !! Merci à ceux qui sauront me traduire ça. Gribouille
zave Posté 17 Août 2005 Posté 17 Août 2005 J'ai pas le temps tut de suite, je te l'analyse dans la soirée et te donne le résultat le plus vite possible Penses à mettre windows à jour
xpatval Posté 17 Août 2005 Posté 17 Août 2005 Kerio semble être un bon produit, mais n'est véritablement gratuit (les mises à jour ...) que 30 jours... ensuite, tu restes avec ta dernière mise à jour... xpatval
zave Posté 18 Août 2005 Posté 18 Août 2005 (modifié) Bonjour à tous j'ai mis un peu de temps à te donner le résultat de ton logs, mais hier soir j'avais pas mal de trucs à faire Ton log hijackthis n'est pas mauvais du tout, toutes les manips que tu as déjà fais ont éradiquées pas mal de trucs Au risque de me répéter, il est impératif que tu fasses tes mises à jours, windows est semblable à un gruyère sauf que les trous sont des failles de sécuritées Les virus de type blaster que tu as attrapé exploite la faille rpc (qui sera corrigé par les majs, ou en fermant le port 135), ces virus, scannent des plages d'ips et dès qu'ils trouvent un ordinateur vulnérable, ils se jettent dessus, pour l'instant tu es relativement tranquille car en mettant un firewall, tu l'empèches de rentrer, mais il frappe toujours à la porte Bon passons au logs maintenant télécharges le freeware CCleaner, qui va te permettre de nettoyer tes repertoires temporaires, tes lists mru Redémarres en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarres l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuies sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. Tu cliques sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. Dans la liste des services, cherche et sélectionnes msecure puis double click sur la ligne vérifies dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de C:\WINDOWS\mcsecure.exe dans Type de démarrage, sélectionnes Désactiver / valide la modification. Tu relances hijackthis et tu refais un scan, et tu fixes ces deux lignes R3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file) O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe Penses à fermer toutes les fenêtres qui peuvent être ouverte à par hijackthis bien sur Assures toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Actives la case : Afficher les fichiers et dossiers cachés Désactives la case : Masquer les extensions des fichiers dont le type est connu Désactives la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer Supprimes le fichier (s'il existe encore) : C:\WINDOWS\mcsecure.exe Lances et exécutes CCleaner Recaches les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. redémarres ton ordinateur et colles un nouveau rapport hijackthis ici Modifié 18 Août 2005 par zave
Gribouille26 Posté 18 Août 2005 Auteur Posté 18 Août 2005 Merci beaucoup Zave !! Pour le début, pas de problème, mais je coince là: Tu relances hijackthis et tu refais un scan, et tu fixes ces deux lignesR3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file) O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe Penses à fermer toutes les fenêtres qui peuvent être ouverte à par hijackthis bien sur Assures toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Actives la case : Afficher les fichiers et dossiers cachés Désactives la case : Masquer les extensions des fichiers dont le type est connu Désactives la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer Supprimes le fichier (s'il existe encore) : C:\WINDOWS\mcsecure.exe Lances et exécutes CCleaner Recaches les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. redémarres ton ordinateur et colles un nouveau rapport hijackthis ici <{POST_SNAPBACK}> Pour faire le nouveau scan, je ressort du mode sans echec ? Que signifie "fixer"? Gribouille
xpatval Posté 18 Août 2005 Posté 18 Août 2005 Une petite chose, qu'il ne faut pas oublier de faire: HORS CONNEXION (important!): tu vas dans le panneau de configuration -> performance et maintenance -> système. Dans l'onglet restauration du système, coche "désactiver la restauration du système". Une fois fait, et toujours hors connexion internet, tu peux lancer un scan antivirus. Il arrive que certaines merdes aillent se mettre dans des zones systèmes non accessibles par les antivirus. Une fois ton scan fini, décoche la désactivation restauration système. xpatval
Gribouille26 Posté 18 Août 2005 Auteur Posté 18 Août 2005 Bonne idée!! Je vais faire ça en attendant que Zave me précise la marche à suivre.. Merci Jean-Luc. [edit] c'est fait. Mais Norton n'a rien pu faire de plus.... Dommage, mais bien essayé ![/edit] Gribouille
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant