[Gribouille26]

Bonjour,

J'ai un problème avec un worm32 spybot.
Norton l'a détecté puis m'a dit qu'il l'avait enlevé.
J'ai, ensuite, eu une fenêtre disant:
Message de SYSTEM à ALERT le "maintenant"
Microsoft Windows has detected your internet browser is infected with Spyware, Ad-aware, and Thiefware. Your privacy is in danger.
We recommand an immediate system scan. Please visit http:**//swipespy.com
Failure to disinfect could allow third parties access to your personel information.

Puis un autre message de Norton: Worm Toxbot !!

Que dois-je faire !!
Gribouille

[Jeanluc]

Gribouille26, le mercredi 17 août 2005, 11h43, a dit :

J'ai ensuite eut une fenetre marquée:
Message de SYSTEM à ALERT le "maintenant"
Microsoft Windows has detected your internet browser is infected with Spyware, Ad-aware, and Thiefware.

18080"]<{POST_SNAPBACK}>

Bonjour Gribouille26,

Prudence!!! Je serais fort étonné que ce soit vraiment un message de Microsoft.

Jean-Luc

[Gribouille26]

C'est ce que je me suis dite aussi; c'est pour ça que je les ferme avec la croix en haut à droite sans faire OK.

Mais je ne sais pas quoi faire...
Ca revient sans arrêt !!!

Gribouille

[Gribouille26]

Maintenant, j'ai un cheval de Troie :
http://securityrespo...an.dropper.html
Et un truc qui m'ouvre des pages de pubs avec IE !!!

C'est de la follie !!
J'espère que ça n'a pas de rapport avec ma nouvelle connexion Numéricable ...

Gribouille

[Jeanluc]

J'ai trouvé quelques explications en anglais : http://www.askyourne...cid=0&qid=59155

Je n'ai pas tout lu, mais ils disent que l'intru a profité d'une faille de sécurité de ton système et qu'il va essayer de te vendre des mises à jour de sécurité (normalement gratuites) de Microsoft. Bénéfice inattendu pour toi : un danger réel a été mis en évidence.

Je suppose que tu devrais te déconnecter du réseau et faire un nettoyage antivirus et spyware de ton pc et installer un firewall correct. Il n'y a probablement aucun lien avec ton changement de connexion. Je suppose que ton agresseur essaie des adresses au hasard.

Jean-Luc

[Gribouille26]

OK, merci Jean-Luc. Tu me rassure un peu !
J'ai Ad-Aware, c'est comme Spybot ou je dois le prendre aussi ?
Je n'ai jamais vraiment su ce qu'est un firewall...

Et il y aussi un autre problème pour me deconnecter, que j'explique sur ce post...

Gribouille

[carm]

Bonjour Gribouille26,

Je te conseille d'installer Ad-aware ET Spybot

Les 2 sont complémentaires selon moi.. En tout cas Ad-aware trouve des trucs que
Spybot ne trouve pas et inversement !

Et soit dit en passant à ta place je virerai Norton Tu trouves des antivirus gratuits tout aussi performant, voir plus...

Good luck !

[zave]

Bonjour

Pour la défintion d'un firewall (pare-feu): http://fr.wikipedia.org/wiki/Firewall

L'usage d'un firewall est insdispensable pour la sécuritée de ton ordinateur, il filtre les paquets entrant et sortant selon des règles pré-établie et certaines que tu ajouteras en indiquant ceux que tu veux laisser entrer et ceux que tu ne veux pas

Je te déconseille le par-feu de windows, qui ne filtre pour ainsi dire pas les paquets sortantset qui possède des failles de sécuritées


Des firewalls ils en existent beaucoups ce petit comparatif , permetta de mieux guider ton choix

Personnellement je te conseil Look 'n Stop, que j'utilise maintenant est qui est vraiment très bien, tu peux trouver aisément des règles prédéfinies sur le net, qui t'aideront à le paramêtrer au mieux

En ce qui concerne Spybot, je te le conseil aussi, il reconnait tout un tas de spywares, son module Tea timer t'avertis à chaque tentative de modification de clé dans la base de registre

Il est conseillé aussi de coupler spybot avec Spyware Blaster, qui à l'image de la fonction vaccination de spybot empêche l'installation de spywares et filtres les activex

Le seul incovénient de Spybot et qu'il ne scanne pas le disque, et qu'il n'effectue pas d'analyse heuristique, il effectue une recherche ciblée, en fonction de sa base de donnée, mais il reste malgré tout très efficace

Je conseil aussi Ewido security suite, que j'ai eu l'occasion de tester, après un conseil très avisé, je dosi dire que je l'ai trouvé particulièrement efficace

[Gribouille26]

Merci pour toutes ces infos !
J'ai de la lecture...

J'alllais vous dire que c'était fini, mais viens d'avoir un autre message:
Generic Host Process for Win32 Services
GHP for Win32 Services a rencontré un problème et doit fermer.....
J'ai viré 2 fichiers avec Norton et tout un tas avec Ad-Aware !!

Gribouille

[Gribouille26]

Mon PC s'est éteint après un compte à rebour sans aucune intervention possible !!
Ca devient vraiment du pur délire...

Gribouille

[Jeanluc]

Courage, Gribouille, on est avec toi...

(Juste pour info et sans vouloir dire que c'est le bon choix)

J'utilise depuis pas mal de temps :
- Norton AntiVirus (avec abonnement payant aux mises à jour automatiques)
- Spybot (contre les spywares; gratuit)
- Sygate Personnal Firewall (firewall; gratuit)

Jean-Luc

Ce message a été modifié par Jeanluc : 17 août 2005 - 13:26

[zave]

Citation

Mon Pc c'est éteint avec un compte à rebours sans aucune intervention possible !!

As tu installé les mises à jour windows, quel service pack utilises tu?

Si je te demande ça, c'est parce que ce type de problème me fais pense à un virus de type blaster, qui profite d'une faille de sécurité de windows

http://www.secuser.c...003/blaster.htm

Fais un tour sur le lien et dis moi si ce compte à rebour corresponds à la capture décran?

[Gribouille26]

Jeanluc, le mercredi 17 août 2005, 14h25, a dit :

Courage, Gribouille, on est avec toi... 
- Norton AntiVirus (avec abonnement payant aux mises à jour automatiques)
- Spybot (contre les spywares; gratuit)
- Sygate Personnal Firewall (firewall; gratuit)
Jean-Luc

18119"]<{POST_SNAPBACK}>

Merci Jean-Luc.
J'ai, maintenant, Norton avec mises à jour, Ad-Aware, Look'n'stop (firwall à l'essai), et je vais prendre Spybot...

zave, le mercredi 17 août 2005, 14h28, a dit :

As tu installé les mises à jour windows, quel service pack utilises tu?

Si je te demande ça, c'est parce que ce type de problème me fais pense à un virus de type blaster, qui profite d'une faille de sécurité de windows

http://www.secuser.c...003/blaster.htm

Fais un tour sur le lien et dis moi si ce compte à rebour corresponds à la capture décran?

18120"]<{POST_SNAPBACK}>

Pas de mise à jour Windows.
Effectivement, j'ai eut plusieurs alertes Worm de la part de Norton ! Et cette capture ressemble...
Mais apparement, plus rien depuis que j'ai mis le Firewall....

Gribouille

[xpatval]

Bonjour, après'm chaud et ensoleillé,


Qlques conseils de mon cru:

Changer Norton antivirus pour plusieurs autres, gratuit, et les faires tourner chacun, l'un après l'autre. Virer ce qui est détecté (si c'est possible).
Si possible, faire un scan en ligne (via ravantivirus, ou bitdefender).

Un petit coup de HIJACKTHIS, la log à faire analyser sur www.hijackthis.de, et virer ce qui est louche (demander avant...).

Installer et configurer correctement un firewall...

Bon courage...

xpatval

[Gribouille26]

Pour ce qui est du Firewall, je teste Look'n'stop, mais il est payant.
En connaissez-vous un bon gratuit ?


Gribouille

[Gribouille26]

J'avais pas entendu avant, mais...J'ai aussi un problème de son !
J'ai un bruit de Windows comme une fenetre d'alerte qui s'ouvre, mais il n'y a rien à l'écran !!!
C'est super flippant....

[edit] C'est le Firewall qui fait ce son à chaque fois qu'il arrete quelquechose !!
J'ai enlevé le son, il était en option!
C'est normal qu'il stop un "truc" toutes les 3 secondes en moyenne??? [/edit]

Gribouille

[zave]

Citation

Pas de mise à jour Windows.
Effectivement, j'ai eut plusieurs alertes Worm de la part de Norton ! Et cette capture ressemble...
Mais apparement, plus rien depuis que j'ai mis le Firewall....

C'est normal, ton firewall bloque la tentative d'attaque, je te conseil vivement de mettre à jour windows, pour t'éviter d'autres désagréments

L'attaque se fait via le port 135, tu peux bloquer grâce à un petit utilitaire Zeb protrect, il permet de fermer d'autres ports sensibles

Pour des firewalls gratuit, kerio est pas mal

http://eservice.free...ll-gratuit.html

tu as zone alarm, mais il est bien meilleur en version pro

Look 'n stop et Nod32 (antivirus) malgré le fait qu'ils soient payant sont je pense les meilleurs protections du moment

Comparatif, très bien fait de 8 antivirus

http://www.matbe.com...virus/page1.php

sinon un log hijackthis de ton pc serait une bonne idée aussi

[Gribouille26]

J'aime pas trop les mises à jour Windows. C'est censées renforcer la sécurité, mais à chaque fois, ça créé un problème...

Je vais me renseigner sur Kerio et Zone Alarm, mais si vous avez d'autres avis....

J'ai remarqué aussi qu'à chaque fois que je veux ouvrir l'appli du Firewall, j'ai une alerte Norton : Windows/mcsecure.exe W32.Spybot.worm
Mon ami Google ne m'apprend rien sur ce fichier mcsecure.exe !

Gribouille

[Gribouille26]

J'ai fait un Hijackthis:

Citation

Logfile of HijackThis v1.99.1
Scan saved at 18:15:08, on 17/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\mcsecure.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
c:\Program Files\Numericable\Mon Assistant Internet\bin\mpbtn.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Fff\LOCALS~1\Temp\Rar$EX00.562\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file)
R3 - URLSearchHook: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Mon Assistant Internet.lnk = C:\Program Files\Numericable\Mon Assistant Internet\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll
O9 - Extra 'Tools' menuitem: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C'est long....
Et j'y comprend rien !!
Merci à ceux qui sauront me traduire ça.

Gribouille

[zave]

J'ai pas le temps tut de suite, je te l'analyse dans la soirée et te donne le résultat le plus vite possible

Penses à mettre windows à jour