Forum Clubic

Question générale virus, quarantaine, mbr, firwall windows

Bonjour,
je suis sur winXP pro sp2, mais pas un vrai…hum
je subit une attaque et les fichiers sont mis en quarataine grace a nod 32, voici le rapport:

Date et heure Module Objet Nom Menace Action Utilisateur Info
05/01/2008 15:18:06 AMON fichier C:\WINDOWS\system32\drivers\smtpdrv.sys Win32/Agent.NBT ver mis en Quarantaine - supprimé OUST\Oust Un événement s’est produit sur un fichier nouvellement créé. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
05/01/2008 15:18:00 AMON fichier C:\DOCUME~1\Oust\LOCALS~1\Temp\47218.exe Win32/Wigon.AH cheval de Troie mis en Quarantaine - supprimé OUST\Oust Un évènement s’est produit sur un nouveau fichier créé par l’application: C:\Program Files\Internet Explorer\IEXPLORE.EXE. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
05/01/2008 15:17:41 AMON fichier C:\WINDOWS\System32\drivers\runtime.sys Win32/Rootkit.Agent.NDF cheval de Troie mis en Quarantaine - supprimé Un événement s’est produit sur un fichier nouvellement créé. Le fichier a été déplacé en Quarantaine. Vous pouvez fermer cette fenêtre.
05/01/2008 13:09:27 AMON fichier C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys Win32/Rootkit.Agent.DP cheval de Troie mis en Quarantaine - supprimé AUTORITE NT\SYSTEM Un événement s’est produit lors de la tentative d’accès au fichier.
04/01/2008 00:30:33 IMON fichier invalid_name POLY.CRYPT.TSR.COM.EXE virus probablement inconnu OUST\Oust

voici mes questions:
-est-ce que la quarantaine m’en débarasse a 100%, pas de risque qu’ils reviennent?
-mon pc gele parfois et quand je reboot, il affiche erreur de lecture disque…est-ce lié a celà? ( le virus peut il attaquer le mbr?)
-est-ce risqué un win sans parfeu mais derrière un routeur neufbox et avec nod32

merci d’avance
Edité le 05/01/2008 à 16:05

ça, sa peut etre risqué.

Normalement c’est bon. Si tu as un doute tente un scan en ligne :

Teste tes disques dur, il se peux qu’ils commencent à faiblir.

Pour moi oui ! d’autre te dirons que non …

Moi, je dit +1 pour benharper, sauf pour ça :

Ben, moi je fait parti de ceux qui te diront que non, car la box fait normalement office de pare-feu…mais si tu veux avoir en plus un pare-feu logiciel bidirectionnel, il n’y a pas de problème !

Moi c’est justement pour ça…Après c’est une question de point de vue. :wink:

Le “normalement”, c’est parce que je n’ai pas de neufbox, mais je sais que la livebox et la freebox le font.
Mais, tu as raison, c’est une question de gout. Moi, par exemple, je ne considère pas obligatoire d’avoir un pare-feu bidirecionnel, mais ça change en fonction de l’utilisateur et de l’utilisation qu’il fait de son PC.

merci pour vos réponses, je prend bonne note de l’état de mes disques dur…arg

Toutefois kaspersky a trouvé a peu près les même choses que Nod32 et sans les supprimer, apparement ce sont de virus inconnus…
voici le rapport d’erreur concernant les virus

C:\Program Files\ESET\infected\DVZUZNDA.NQF Infecté : Trojan-Downloader.Win32.Agent.ggt ignoré

C:\Program Files\ESET\infected\TVG1RUAA.NQF Infecté : Rootkit.Win32.Agent.pr ignoré

C:\Program Files\ESET\infected\TWCE5MAA.NQF Infecté : Email-Worm.Win32.Agent.l ignoré

C:\Program Files\ESET\infected\ZZXPOYBA.NQF Infecté : Trojan-Downloader.Win32.Agent.dpe

Avez vous une solution?,car nod32 les met en quarantaine mais les réintercepte dès que l’ordinateur reboot, en gros il ny arrive pas…
Pour ma part j’utilise mon pc pour regarder du streaming, telecharger, surfer, stocker et faire du son…mais je n’ai pas trop envie d’installer un firewall qui me demande quoi faire dès qu’il se produit qqch de nouveau!

[quote=“bennid”
voici mes questions:
-est-ce que la quarantaine m’en débarasse a 100%, pas de risque qu’ils reviennent?
-mon pc gele parfois et quand je reboot, il affiche erreur de lecture disque…est-ce lié a celà? ( le virus peut il attaquer le mbr?)
-est-ce risqué un win sans parfeu mais derrière un routeur neufbox et avec nod32

merci d’avance
[/quote]

bonjour

-est-ce que la quarantaine m’en débarasse a 100%, pas de risque qu’ils reviennent?

la quarantaine isole l’action du fichier en question mais si c’est pas la source du problème , il est fort probable que la source puisse récréer une copie autant de fois que necessaire ce même fichier et donc à chaque fois qu’il sera detecter par nod32 il sera mis en quarantaine. c’est sans doute ce qui ce passe puisque tu as constaté >>mais les réintercepte dès que l’ordinateur reboot.

généralement on choisi la quarantaine lorsque qu’il s’agit d’un fichier système ou appartenant à une application pour le reste vaut mieux choisir la suppression.

-mon pc gèle parfois et quand je reboot, il affiche erreur de lecture disque…est-ce lié a celà? ( le virus peut il attaquer le mbr?)

le mbr je ne pense pas car si tel était le cas il y a longtemps que tu n’aurais plus eu accès à ton windows par contre l’action des fichiers smtpdrv.sys et smtpdrv.sys dans le rep drivers à sans doute créé un conflit puisque l’antivirus les a désactiver par la quarantaine donc le gèle occasionné et très certainement lié à cela.là il fortement recommendé d’évaluer le chargement de ton système avec l’utilitaire HiJackThis

-est-ce risqué un win sans parfeu mais derrière un routeur neufbox et avec nod32

déjà un win avec parefeu sp2 c’est risqué alors sans n’en parlons pas !!
surtout dans ton cas l’action se passe de l’intérieur vers l’extérieur et sans contrôle de sortie (firewall filtrant en sortie ) tu n’as aucun controle sur les applications et ce n’est pas ton firewall matériel qui va te protéger de cela car ce n’est pas son rôle et encore moins le firewall sp2 puisqu’il ne filtre pas les sorties.

Un exemple de connexion sortante à l’insue de l’utilisateur ayant leFWSp2:

l’application wga de microsoft qui sert à vérifier la légitimité d’une copie de Windows se connecte automatiquement au serveur microsoft dès le demarrage à l’ouverture d’une session (une fois par jour) ou il sort pas moins de 200 ko.

mais ça c’est rien comparé à d’autre logiciels donc à ceux qui affirment qu’un firewall matériel est suffisant , j’aimerai tout simplement qu’ils viennent m’expliquer

-comment ils gèrent leurs applications sur des flux sortants considérés en zone légitime donc sur des services légitimes ?

-et par quelle opération du “saint esprit” savent ils qu’une application considérée en zone (service) légitime tente une connexion sortante à leur insue ?

ben je vais te répondre de suite et sans détour ils ne gèrent pas , ils n’ont aucun controle sur ce qui sort !!! Car Le firewall du routeur (matériel) masque l’ordinateur sur internet, contrôle les paquets,gère les services par port et protocole mais ne surveille pas les applications qui tentent d’établir une connexion

moi je veux bien pour ceux qui s’en foutent royalement mais de là à conseiller cette usage surtout à un utilisateur novice :non:
Edité le 07/01/2008 à 18:05

okay…merci bcp pour toutes ces réponses précises a souhait et qui m’éclairent bien, en m’apprenant plein de trucs alors je me permet d’abuser un peu:

  • Est- ce que le troyen peux se propager au reste du réseau local? ( je presume que oui…), si tel est le cas je présume aussi qu’il faut tout traiter en même temps (un peu comme les poux a l’école)
  • Pouvez vous me conseiller un freeware parfeu qui ne soit pas trop “bruyant”, à cause des alertes intempestive “”…mais je n’ai pas trop envie d’installer un firewall qui me demande quoi faire dès qu’il se produit qqch de nouveau!""
  • J’en veux bien un pour mac aussi parce qu’Ableton live tag les fichiers projet s’il se rend compte qu’ils sont issus d’une version douteuse et les rend inutilisable
  • …je vais essayer un scan en mode sans echec pour erradiquer tout cela mais la je ne suis pas chez moi…je vous tiens au courant de la réussite

Merci encore pour votre aide

  • Est- ce que le troyen peux se propager au reste du réseau local? ( je presume que oui…), si tel est le cas je présume aussi qu’il faut tout traiter en même temps (un peu comme les poux a l’école)

oui suivant le type de virus il peut se propager sur ton réseau , donc suivre la procedure de clean PC deconnecté, pour ce qui est des procedures tu devrais trouver toutes les infos utiles dans le topic assurer la protection de votre pc n’hésite pas à poser tes questions dans ce topic … et donc vérifier et configurer chaque pc de ton réseau .

  • Pouvez vous me conseiller un freeware parfeu qui ne soit pas trop “bruyant”, à cause des alertes intempestive “”…mais je n’ai pas trop envie d’installer un firewall qui me demande quoi faire dès qu’il se produit qqch de nouveau!""

en matière de gratuit et surtout vue son efficacité sans conteste le meilleur firewall est comodo sa fiche ICI
-pas trop “bruyant”, à cause des alertes intempestive

:ennuye: c’est justement là ou reside tout l’interet du controle que l’utilisteur doit avoir sur sa machine , si tu ne veux pas d’alerte donc tu ne veux pas de controle et si tu ne veux pas de controle alors tu ne veux pas de protection… c’est la logique pure et dure de la chose… mais t’inquietes pas comodo est assez souple et te laissera tranquile avec ses messages si tu sais cliquer sur enregistrer ma réponse.

  • …je vais essayer un scan en mode sans echec pour erradiquer tout cela…

oui le mode sans échec reste la meilleur des solutions surtout quand il s’agit de suppression dans system32 mais avant toute chose prendre note des informations et surtout suivre une procedure de clean et de suppression des virus existant de manière ordonnée , sans oublier qui te sera necessaire d’effacer tous tes points de restaurations .
Edité le 08/01/2008 à 11:02

bonjour,
je crois que tu m’a convaincu , je télécharge comodo de ce pas!

pour ce qui est de la menace, j’ai envoyé un rapport hijack this et la réponse m’a été fournie iciici

à priori ca devrait aller , je te tiens au courant sur le topic joins si ca revient


ah oui et puis encore un grand merci pour la pédago

:wink: ok bonne continuation

ah oui et puis encore un grand merci pour la pédago

:super: méthode de choc pour faire effet sinon comment ferai je pour convaincre !? :lol: