Vous n'êtes pas connecté.
Hello à tous,
J'ai fait une bêtise... J'ai lancé un scan avec Panda Antiscan, mais comme Avast me signalait que c'était un virus, je me suis méfié, et je l'ai mis en quarantaine... Polo62 m'a alors expliqué que c'était normal, et qu'il n'y avait pas de problème... donc je relance le scan, mais là... Panda antiscan m'indique qu'il est impossible d'effectuer le scan.
Donc je vais dans la zone de quarantaine d'Avat, je restaure antiscan... même résultat, impossible.
Alors je supprime antiscan de la zone de quarantaine en me disant qu'il va se réinstaller...
Mauvaise réponse: antiscan ne semble plus être du tout sur mon ordi, et pourtant le scan refuse toujours de se lancer ou de s'installer depuis le net...
Que dois-je faire?
Merci à tous.
Hors ligne
Bonjour,
Pour palier ce souci entre Panda en ligne et avast fais un scan en ligfne avec Kapersky ca simplifiera les choses
http://webscanner.kaspersky.fr/
Hors ligne
Salut Polo62,
J'ai scanné mon ordi avec Kaspersky, et il m'a détecté: 2 virus, 4 objets infectés, et 2 objets suspects...
Le problème, c'est que je ne sais pas comment t'envoyer le résultat de l'analyse dans ce message... Tu pourrais m'expliquer? Je n'arrive pas à faire de copier coller dans la fenêtre du rapport, et pourtant j'aimerais que tu y jettes un oeil, j'ai peur de faire des bêtises....
P2P-Worm.Win32.VB.dz , voilà en tout cas ce qui est marqué en face de chaque alerte, et il n'y a pas de description disponible sur le site de Kaspersky.
En tout cas, merci encore pour ces liens tellement utiles!!!
pc-noob
Hors ligne
Bonsoir,
Ces deux virus sont des vers se propageant par les reseaux P2P
si tu as relevé les noms de fichiers cela devrait suffire à les identifier avec plus de précison sinon met un log hijackthis histoire de s'assurer qu'il ne soit pas deja installé
Hors ligne
salut Polo62,
Voici ce que me met le hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 10:16:42, on 14/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Program Files\TrojanShield\Port.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
Je précise une chose qui me chiffonne: dans les virus ou log infestés détectés par Kaspersky, il y en a un qui est à l'adresse suivante:
D:\System Volume Information\_restore{D3E09DD8-CCE4-4D25-BF17-8E5EFC12B378}\RP5\A0001094.exe ....
Ce que je ne comprends pas, c'est que le disque D:\, c'est mon disque de stockage, donc je ne vois pas ce que vient y faire un dossier système. En plus j'ai cherché (dans Rechercher) "système volume information", et bien évidemment, il me dit qu'il n'a rien trouvé...
Merci pour tes conseils avisés!!
Bonne journée,
pc-noob
Hors ligne
Bonjour,
D:\ System Volume Information \_restore{D3E09DD8-CCE4......
Ceci nous indisque que la bestiole est logée dans la restauration système.
Ce dossier est un dossier protégé et caché.
Pour afficher et donc le voir il faut l'autoriser
- Autorise l'affichage des fichiers et dossiers cachés
- Clique sur Démarrer - Panneau de configuration - Outils - Option des dossiers onglet Affichage
- Coche Afficher les Fichiers et dossiers cachés
- Décoche Masquer les fichiers protégés du système d'exploitation
- Décoche Masquer les extensions dont le type est connu
- clique sur Appliquer et Ok pour valider les changements
Maintenant il n'y a qu'une solution permettant de supprimer l'infection, il faut
Désactiver la restauration systeme
Maintenant pour ce qui est du log hijackthis
relance hijackthis (scanner seulement)
coche les cases devant ces lignes
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Program Files\TrojanShield\Port.exe
et clique sur Fixer objet (ou fix checked)
Pour une meilleure protection je te conseil de faire le ménage dans les fichiers temporaires ainsi que les clé de registre inutiles. de temps en temps.
Hors ligne
Salut Polo62,
Je ne sais pas comment te remercier pour tes conseils de professionnel... J'ai fait toutes les manips que tu m'as prescrites, j'ai "fixé" les deux éléments en question, redémarré, et réactivé la restauration système. Désormais j'ai trouvé mon site de référence.
Mais je me pose une question, qui va te paraitre un peu lourde peut-être.... Qu'est-ce que j'ai fait, au juste??? :-)
Voilà ce que j'en ai compris: toi, avec mon hijackthis, donc un programme qui repère les éléments qui détournent le système, tu as su lire que deux éléments n'avaient rien à faire dans mon système, et plus précisément dans mon registre, sous la clé Local Machine... Cela voudrait donc dire que ALCMRE.EXE par exemple, était en fait un virus, c'est ça? C'est à dire un programme malicieux qui se lançait avec mon système... mais est-ce que tu sais où il agissait?
Et l'autre: O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Program Files\TrojanShield\Port.exe, pourquoi les mots "trojanshield" (qui m'inspirerait plutot confiance, en soi), et "port"?
J'espère ne pas t'ennuyer, d'ailleurs je ne me vexerai pas si tu ne réponds pas, mais j'aimerais tellement comprendre!!! Si tu pouvais au moins me dire ce que signifie concrètement cette liste de hijackthis, ce serait déjà un grand pas pour moi... Est-ce qu'il relève tous les programmes actuellement en cours d'exécution?
En tout cas merci encore si tu réponds à l'une de ces questions,
pc-noob
Hors ligne
Bonsoir,
Pour faire simple hijackthis liste les éléments névralgiques de la base de registre ainsi que quelques points annexes.
Les fichiers fixés sont un spyware (alcmre.exe) par contre le second c'est par mesure préventive car ce programme est encore actuellement en cours de test sur des sites de securité dont le rôle consiste à verifier l'efficacité de ces programmes. Saches que les editeurs de cochonneries en tout genre exploiteront toujours la faille la plus critique qu'un ordinateur ne connaitra jamais, L'utilisateur et il utilise pour cela tous les moyens permettant de le mettre en confiance (certain n'hesite pas à vendre de faux utilitaies de sécurité)
Les différentes rubriques d'hijackthis
R0, R1, R2, R3 URLs des pages de démarrage/de recherche d'Internet Explorer
F0, F1, F2,F3 Programmes en auto chargement
N1, N2, N3, N4 URLs des pages de démarrage/de recherche de Netscape/Mozilla
O1 Détournement du fichier Hosts
O2 Browser Helper Objects
O3 Barres d'outils d'Internet Explorer
O4 Programmes en auto chargement depuis le Registre
O5 Icône des Options d'IE non visible dans le Panneau de contrôle
O6 Accès aux Options d'IE restreint par un Administrateur
O7 Accès à Regedit restreint par un Administrateur
O8 Éléments supplémentaires dans le menu contextuel d'IE (clic droit)
O9 Boutons supplémentaires dans la Barre de boutons principale d'IE, ou Éléments supplémentaires dans le menu 'Outils' d'IE
O10 Piratage des Winsock LSPs
O11 Groupe supplémentaire dans l'onglet 'Avancé' des options d'IE
O12 Plugins (extensions) d'IE
O13 Piratage du préfixe par défaut d'IE
O14 Piratage de 'Restaurer les paramètres Web'
O15 Sites indésirables dans les 'Sites de confiance'
O16 Objets ActiveX (alias Downloaded Program Files)
O17 Piratage de domaine / piratage par Lop.com
O18 Protocoles supplémentaires et piratage de protocole
O19 Piratage de la feuille de style de l'utilisateur
O20 Clé de Registre AppInit_DLLs
O21 Clés de Registre ShellServiceObjectDelayLoad
O22 Clé de Registre SharedTaskScheduler
O23 Services Windows XP/NT/2000
Hors ligne
Merci pour ces précisions Polo62!!!
Tu me diras quand tu en auras marre que je te pose des questions, mais pour l'instant, à mesure que j'y vois plus clair, je me passionne de plus en plus, alors je me permets de te redemander quelque chose de plus précis encore!
Grâce à ta liste, même si évidemment je n'y comprends pratiquement rien, je commence à entrevoir le travail qu'a effectué hijackthis... Mais prenons par exemple ces deux lignes sur mon hijackthis:
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
04 = lancement automatique depuis le registre, si j'ai bien compris, donc mon ordi considère que tous les programmes inscrits ici sont légitimes, et il les exécute sans se poser de question... J'ai supprimé Alcmtr sur ton conseil, puisque c'est un spyware.
Mais si je veux aller plus loin, et tenter de comprendre par moi-même à quoi renvoie exactement chaque ligne... Je me dis que Alcmtr.exe est basé dans le registre, sous:
HKEY Local Machine\SOFTWARE\Alcmtr, c'est bien ça? En tout cas c'est ce que j'en conclus... (je n'ai pas pu vérifier, je l'ai déjà "fixé", donc je ne m'étonne pas qu'il n'apparaisse pas).
Ma première question, c'est: au cas où je me retrouverais tout seul pour régler un problème comme celui-ci, aurais-je un moyen de vérifier chaque programme qui apparait dans le hijackthis? Est-ce que l'entrée [Alcmtr] serait valide dans un moteur de recherche spécialisé? Une chose est de connaître les virus, une autre, j'ai l'impression, de savoir à quoi renvoient précisément les applications .exe, non?
Mon autre question: je t'ai mis la ligne qui était au-dessus de Alcmtr dans mon premier hijackthis. J'ai cherché, dans HKEY Local Machine\SOFTWARE, le mot ALCWZRD... en vain! Alors où peut-il bien être?
Merci pour ta patience, en tout cas, et bonne nuit!!
pc-noob
Hors ligne
Bonsoir,
En fait sous ces lignes 04 se cachent les entrées de la base de registre
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
mais aussi dans ces dossiers
c:\documents and settings\NomUtilisateur\Menu Démarrer\Programmes\Démarrage
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage
Ce qui implique que les fichiers trouvés se trouveront donc sous l'une d'entre elles.
Concernant l'analyse de ces logs il consiste en grande partie à comparer une entrée à une base de données qui recense les bonnes comme les mauvaises. Il y a toujours des cas ou les fichiers trouvés ne seront trouvables null part car certaines bestioles nomme de façon totalement aléatoire les fichiers ce qui la rend difficilement décelable.
Plus d'infos concernant l'analyse hijackthis
http://www.zebulon.fr/articles/HijackThis.php
http://www.zebulon.fr/articles/analyse- … this-3.php
Bonne lecture
Hors ligne
Merci Polo62,
Je vais de ce pas m'instruire sur hijackthis...
Juste une autre petite question: je me suis amusé à regarder d'autres hijackthis, sur 01.net, notamment celui d'un mec qui semblait avoir de gros problèmes avec son ordi..( il l'a visiblement reformaté pour régler les blèmes, tant mieux pour lui...). J'ai comparé le scan avec le mien, et j'ai trouvé une ligne qui n'apparaissait pas chez moi:
O18 - Protocol: msnim - {je supprime la liste de chiffres, je sais pa ce que c'est, et c'est pas mon ordi} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Or le code 018 = protocoles supplémentaires et piratage des protocoles, donc je suppose que c'est illégal? Pourtant on dirait que c'est msn.
La question que je me pose: 018, ça signifie que c'est l'utilisateur qui a piraté un protocole lui-même, ou un malware qui a piraté son protocole? Et pourquoi l'indication "file missing" à la fin?
voilà, merci si tu réponds
pc-noob
PS: comme le sujet m'intéresse de plus en plus, je vais lancer un topic ailleurs que dans l'Entraide, et je te poserai des questions, sauf avis contraire de ta part.
Hors ligne
Bonsoir.
Attention de ne pas extrapoler trop vite avec hijackthis car cette ligne est bonne y compris le "file missing" (qui signifie que le fichier est absent donc en théorie la ligne est inutile) sauf ici qui est une erreur connue donc à ne pas toucher.
Pour faire une recherche concernant ces ligne 018 c'est ici http://castlecops.com/O18.html
attentioon c'est le CLID qui est l'élément de recherche (la série de chiffre que tu as supprimé) ensuite il suffit de comparer le statut L pour légitime et X pour infectieuse.
Attention l'analyse brute d'un rapport te donnera les lignes infectieuses mais pas la procédure à adpopter car certaines infections ne s'erradiquent pas ajuste en fixant les lignes concernées et il faut rechercher beaucoup plus loin et déterminer la bonne procédure.
Les lignes 023. 010. 015 ne se fixent en aucun cas mais necessitent une procédure particiulière avec l'emploi d'utilitaire ou de script
Pour la partie analyse les deux liens donnés plus haut donneront de bonnes bases maintenant pour ce qui concerne la procédure il n'y a pas 50 solutions et ca viend avec l'experience et force de lire les réponses dans différents forums en les comparant aux siennes.
Tu trouveras ici par exemple http://forum.zebulon.fr/index.php?showforum=51
des "spécialistes" dans cet art d'analyser les logs. Lis les réponses apportées qui sont tres bien détaillées et expliquées éventuellement analyse des logs pour les comparer à la procédure que tu auras déterminée de cette manière tu devrais pouvoir t'en sortir d'ici quelques mois
Hors ligne
Bonsoir Polo62,
et merci pour tout!
Je vais déjà digérer tout ce que j'ai commencé à apprendre grâce à toi, et consulter attentivement les liens que tu m'as joints. Ensuite je vais mettre une rubrique dans "Le café de Virus TraQ", où, si tu es encore disponible, je te poserai des questions peut-être un peu trop "noob" pour figurer dans la rubrique d'entraide!!! (parce que je n'aiderai personne avec mes questions, je pense, ça me permet exclusivement de comprendre des choses qui m'intéressent).
A très bientôt, donc, si tu es encore là,
pc-noob
Hors ligne
Bonjour,
Ce genre de discussion aura toute sa place dans la rubrique "discussion générale"
Hormis ca perso j'aurais plus tendence à dire qu'il vaut mieux passer pour un imbécile 30 secondes en posant une question plutôt que de le rester toute sa vie en n'ayant jamais la réponse.
Dans le domaine de l'analyse hijackthis aucun détail ne mérite de rester dans le flou donc toutes les questions même si elles peut paraitre "bète" ne l'est pas forcement.
Une simple ligne peut parfois changer toute la procédure donnée et orienter vers un utilitaire qui traitera efficacement le problème.
Maintenant hijackthis est un moyen curatif ce qui par conséquent n'enlève rien, bien au contraire, à la partie prévention qui est de loin le plus important. Le meilleur moyen de ne pas faire d'erreur avec hijackthis est de ne pas être infecté donc de ne pas l'utiliser.
Bonne continuation
Hors ligne
Merci pour ces lignes rassurantes, Polo62,
Ce n'est jamais facile d'être un noob, en quoi que ce soit.
Je vais bientôt mettre un sujet dans discussions générales, et j'espère que tu seras là pour y répondre!
J'ai commencé à étudier les liens que tu m'as donnés, notamment le tutorial sur Zebulon, mais force est de constater que je n'ai même pas les bases informatiques pour comprendre les tenants et les aboutissants... donc mes questions seront nombreuses, et battront des records de naiveté ! lol !
Bonne nuit, et à bientôt,
pc-noob
Hors ligne