Assurer la protection de votre pc

juju251 · Janvier 19, 2006, 6:36

:hello:

Je me permet un petit up.

MasterCode · Janvier 20, 2006, 11:41

http://www.amvf.org/pleurer.jpg

WDEAHWM.exe
TWAKQOSBA.exe
HWSOWOWRMQD.exe

ya rien sur ces 3 .exe damn

fini par abdiquer, et passer le JOUJOU sous SP2 , mouais … j’en connais qui vont vouloir me charrier… à max . :ange:

d’ailleurs jsuis agréablement surpris même après avoir collé les 54 paths :ouch:

juju251 · Janvier 21, 2006, 8:31

En effet, je n’ai rien trouvé sur ces 3 exe.

T’as remarqué ca apres l’install de quoi, la dernière version de winamp? :??:

MasterCode · Janvier 21, 2006, 7:28

ben enfait j’ai pas bien monitoré :
Winamp je l’ai pris sur CluClu , j’exclus donc probléme de ce coté .
le path Fr je ne sais plus d’ ou il vient exactement , mais j’ai pour habitude de telecharger sur des sites de confiance donc j’exclu aussi le fait que ces 3 exe soient venu s’installer lors de l’installation.

donc je venais de finir l’install et j’ai commencé par évoluer dans le menu , audio, video TV , radio enfin voir ce qu’il faisait , un moment Outpost m’a fait une demande pour autoriser quelquechose et MOI ANE QUE JE SUIS , occupé à autre chose , j’ai laissé passé en acceptant sans vraiment prendre connaissance de l’alerte .

comme je crée les régles au fur et à mesure qu’elle me sont demandés et que je venais juste d’installer Winamp , j’ai pas percuté de suite sur le probleme.

le résident Spybot n’etant pas activé j’ai donc pas suivit l’inscription au niveau BdR .

ce qui m’a sauvé dans l’histoire c’est que machinalement , je fais un clean CCleaner avant d’eteindre le PC et les 3 exe etaient logés dans
C:\Documents and Settings\utilisateur\Local Settings\Temp

il me les a viré ce n’est qu’en faisant un scan HijackThis que j’ai vraiment pris conscience de l’inscription de ces 3 nouveaux 023 (sevices) en file missing ( puique ils n’y etaient plus) après avoir fais un scan spybot (rien trouvé) avast (rien trouvé), j’ai commencé à chasser les clés dans la bdR ( une bonne dizaines ).

vlà , j’en sais pas beaucoup plus , Rien sur ces 3 exe sur le web , mais Rien du tout , nada , nothing… :ouch:

j’ai eu un mal de chien à virer ces clés car il existait d’autre dépendances que je n’ai pas trouvé d’entrée de jeu , le système est resté stable , j’ai donc pu virer ces services de la liste mais d’autre clés étant restés j’ai du tout virer et passé sous le SP2 .

voili voilu truc de OUF… :pt1cable: j’ai pas la moindre idée de la faille exploité, si ce n’est que la mienne :ane: d’avoir accepté sans faire attention et pourtant d’habitude jsuis plutôt attentif.

larkfount_1_1 · Janvier 21, 2006, 10:29

Pour verifier les modifications dans le registre, les fichiers crees et tout (:)), tu as un soft de sysinternals… Cela pourrz te sauver une prochaine fois…

juju251 · Janvier 22, 2006, 9:33

:hello:

mastercode => Je regarderai de temps en temps pour tes 3 fichiers, voir si l’on trouve quelque chose

Bon je voulais faire une petite maj ce week end, je ne sais pas si j’en aurai le temps.

Enfin, le plus vite possible en tout cas.

MasterCode · Janvier 22, 2006, 4:41

:super: JUJU mais bon , j’ai mis une install propre donc j n’ai plus de problm , enfin plus de problm vite dit >> M$ inside :ane:

parcontre j’aurrai bien voulu cerner le pourquoi du comment des ces services pour l’instant je ne vois que > faille WMF possible (j’avais pas patché KB912919 ).

d’ailleurs c’est toujours d’actu :

http://www.lesnouvelles.net/articles/vulne…s-wmf-2006.html

franchement :pfff:

mot pouri-re
quand on voit qu’il a suffit que 24h pour contourner “Genuine Advantage” on se pose même plus de question quand on choppe la vérole . :ane:

juju251 · Janvier 24, 2006, 3:25

Bon, un ptit up

Et bientot une maj, j’y travaille. (Mais pas trop le temps avec les cours et tout ca, mais ca arrive :ane: )

Loader · Janvier 24, 2006, 3:53

Dans la procédure en cas d’infection, il serait bien de rajouter de débrancher son PC du réseau dans la mesure du possible en particulier si on a plusieurs PC à la maison. Ca permet d’éviter/limiter la transmission du virus aux autres machines.
Une fois hors ligne on utilises un autre PC pour rechercher les infos et les mises à jour de l’antivirus.
Et si on n’a qu’un seul Pc à la maison, on essaye de demander à un copain/voisin etc…

juju251 · Janvier 24, 2006, 4:07

Oui, c’est prévu en effet :jap:

juju251 · Janvier 27, 2006, 10:10

Mise à jour (à 22h10, un vendredi :ane: )

:jap:

Alienware · Janvier 29, 2006, 5:01

Ce serait pas mal d’épingler le TO pour qu’il ne sombre plus non ?

juju251 pour les conseils :jap:

juju251 · Janvier 29, 2006, 9:50

Ben, c’est plus au modos qu’il faut poser la question. Mais s’il y avait des posts régulier ca n’arriverais pas

Edit: pour ce point précis on verra par la suite

Merci :jap:. Mais il faut remercier aussi les clubiciens qui ont participé à ce TO. :jap: (qui est encore en construction.)

Ps: A ce propos je me permet d’ajouter le lien vers le topic ou je vous propose de faire la liste des logiciels que vous utilisez pour assurer la protection de votre machine:

http://www.clubic.com/forum/quels-logiciel…s–t331127.html

:jap:

MasterCode · Janvier 31, 2006, 9:59

:hello:

ben vlà que j’avais pas tord ,

j’ai subi cette faille à mes frais avant la news que voici :pt1cable:

http://www.clubic.com/forum/index.php?showtopic=331638

jme sens moins seul tout à coup :ane:

dauss59 · Février 4, 2006, 6:00

Voilà j’ai un virus sur ce fichier : C:\WINDOWS\system32\reginv.dll

Il m’est impossible de le supprimer ou de réparer ce fichier que dois-je faire???

Merci

MasterCode · Février 4, 2006, 9:11

cette dll est détectée comme étant > Backdoor

tu télécharges CCleaner en premier .

1/ déconnecter l’accès Internet (débrancher le câble)
2/ supprimer de ton Anti-virus tous les fichiers de la quarantaine (si t’en a).
3/reboot en mode sans échec sur une session administrateur
4/désactiver la restauration de système.
5/afficher tous les fichiers/dossiers cacher , fichiers système inclus.
6/faire le clean avec CCleaner.
7/localiser puis supprimer dans C:\WINDOWS\system32\reginv.dll
si elle ne peut pas être supprimée, il faudra passer par “l’invité de commandes” pour renommer cette dll
par exécuter > cmd > puis se placer dans le répertoire/chemin :
C:\WINDOWS\system32> puis faire : (respecter les espaces)
ren reginv.dll reginv1.dll puis
del reginv1.dll (normalement à ce stade la dll a été supprimée)
ensuite:
8/executer puis regedit faire> rechercher > reginv.dll puis supprimer toutes clés trouvées de ta BdR.
9/refaire un clean ccleaner + corriger les erreurs.

10/ redémarrer le PC en mode Normal et refaire les scans AV et ANti-spy
si plus de trace d’infection, réactiver la restauration et remettre l’option d’affichage des fichiers /dossiers système par défaut .

Si après cette procédure ( dans l’ordre) cette dll est toujours présente sur ton disque , il va falloir localiser le processus qui réinjecte l’exécution du code d’ou l’intérêt de bien cerner les services afin de trouver l’application/fichier corrompue ou responsable .
Vérifier si il n’y a pas de services espions ou dépendances afin de mieux gérer ta sécurité > poste un log HijackThis dans le forum
ou faire l’évaluation de ton log toi même > Evaluer le log HijackThis en ligne

11/faire exécuter > services.msc et vérifier l’activation des services pare-feu Windows et centre de sécurité dans le cas SP2 si t’as pas d’autre firewall, vérifier l’activation des services de ton anti-virus. Configurer les services

note : Pour être en mesure de recevoir une aide plus appropriée, indiquer quels sont tes logiciels de sécurité utilisés.

outil pouvant servir dans la recherche d’intrus:
voir aussi possible Rootkits : http://www.sysinternals.com/Utilities/RootkitRevealer.html
télécharger l’utilitaire - http://www.sysinternals.com/Files/RootkitRevealer.zip

Monitorer sa base de registre :
http://www.sysinternals.com/Utilities/Regmon.html
télécharger l’utilitaire: http://www.sysinternals.com/Files/RegmonNt.zip

:super: mici , misieu

edit : correction et mise en forme (liens) http://www.f-service.com/~atlantique/index/Screenshots/anim/lum.gif

juju251 · Février 4, 2006, 9:26

As tu essayé de supprimer le fichier en mode sans échec :??:

Sinon, les conseils de Mastercode sont bons.

Merci à toi d’ailleurs Master :jap:

azules · Février 6, 2006, 9:21

bonjour voila j’ai un probleme avec le scan de panda ile trouve plein de malware et de spyware et un virus donc je veux supprimer les spyware manuellement le probleme c’est que a chaque dois il me dit que le programme est en cours d’utilisation et comment dire ca me boure un peu surtout que sur internet explorer j’aimerais bien rouve le putinde spyware qui ma mis une putinde barre de merde qui s’appelle search et surtout a chaque dois que je lance internet explorer j’ai une immense barre qui 'saffiche en bas de mon ecran que je peux ferme mais quui defois ne se ferme pas
bon voila si quelqu’un peut m’aider pas de refus

edit avec panda scan en ligne est ce que on peut directement supprimer ce qu’il affiche

edit2 je viens de trouver de spyware sur mon pc et en regardant leur fate de creation cela conincide avec laprition de ma barre donc j’ia essaye de les supprimer je ne peux pas je fais analyse avec norton il ne peut pas les supprimer les 2 spyware sont

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\All Users\Application Data\IdolGplGramActive\Bind Trust.exe

Adware:Adware/Lop No Désinfecté C:\Documents and Settings\c moi\Application Data\Grey License Okay\PartWaitWay.exe

voila si on pouvait m’expliquer comment les supprimer je serait bien heureux merci d’avance

juju251 · Février 6, 2006, 4:38

:hello: azules

As tu suivi la procédure de désinfection, section 4?

Et as tu fais un scan de ton systeme avec hijackthis (lien section5). regarde aussi pour interpreter le journal (fichier log) que te donnera hijackthis.

En pricipe tu devrais tout avoir section 4 et 5, en cas de soucis poste ici à nouveau

azules · Février 6, 2006, 6:32

ben eu la section 4 ce n’est pas pour un virus car un spyware et un virus ya un fosser qui les separe nan ?
et non je n’ai pas fais hijackthis car je pênsais que faire un scan de son pc avec des liens suffisait desole de ne pas y avoir pense

donc je fais un scan et je verrais bien ce qui en adviendra

edit: le virus j’ai reussi a le supprime panda me donner plein de fichier aec une extention .MOZ je les ai tous suprime c’etait des cookies je suis aller sur google ils sont tous revenus mais les 2 spyware ca fait un moment que j’essaye de les supprimer mais ca veut pas ca me dit que le programme est en cours d’utilisation j’ai redemare mon pc mais rien y fait

bon je retourne a kaspersky

edit2 bon j’ai fait avec kaspersky et bon j’ai trouve plein de truc que j’ai supprime mais il me reste 3 trucs que j’arrive pas a supprime
C:\System Volume Information\_restore{203882C8-1096-4E3A-9389-B460BE012822}\RP1\A0001661.exe Infecté: Trojan-Downloader.Win32.Swizzor.cb ignoré
C:\WINDOWS\Fonts\ehe.txt Infecté: Backdoor.IRC.Kelebek.b ignoré
C:\WINDOWS\Fonts\fonts.dll Infecté: Backdoor.IRC.Kelebek.b ignoré

car pour le premier windows me dit que l’adresse C:\System Volume Information\ n’existe pas et pour les 2 autres quand je tape leur adresse windows les trouve mais ds le dossier je les trouve pas je trouve ca bizare

et les 2 spyware que panda me trouvait kaspersky ne les trouve pas donc voila si tu peux m’aider pas de refus