Jump to content

Alerte sécurité


Recommended Posts

Bonjour,

J'ai un problème avec un worm32 spybot.

Norton l'a détecté puis m'a dit qu'il l'avait enlevé.

J'ai, ensuite, eu une fenêtre disant:

Message de SYSTEM à ALERT le "maintenant"

Microsoft Windows has detected your internet browser is infected with Spyware, Ad-aware, and Thiefware. Your privacy is in danger.

We recommand an immediate system scan. Please visit http:**//swipespy.com

Failure to disinfect could allow third parties access to your personel information.

Puis un autre message de Norton: Worm Toxbot !!

Que dois-je faire !!

Gribouille

Link to comment
Share on other sites

J'ai ensuite eut une fenetre marquée:

Message de SYSTEM à ALERT le "maintenant"

Microsoft Windows has detected your internet browser is infected with Spyware, Ad-aware, and Thiefware.

Bonjour Gribouille26,

Prudence!!! Je serais fort étonné que ce soit vraiment un message de Microsoft.

Jean-Luc

Link to comment
Share on other sites

J'ai trouvé quelques explications en anglais : http://www.askyourneighbour.co.uk/q.php?ti...cid=0&qid=59155

Je n'ai pas tout lu, mais ils disent que l'intru a profité d'une faille de sécurité de ton système et qu'il va essayer de te vendre des mises à jour de sécurité (normalement gratuites) de Microsoft. Bénéfice inattendu pour toi : un danger réel a été mis en évidence.

Je suppose que tu devrais te déconnecter du réseau et faire un nettoyage antivirus et spyware de ton pc et installer un firewall correct. Il n'y a probablement aucun lien avec ton changement de connexion. Je suppose que ton agresseur essaie des adresses au hasard.

Jean-Luc

Link to comment
Share on other sites

OK, merci Jean-Luc. Tu me rassure un peu !

J'ai Ad-Aware, c'est comme Spybot ou je dois le prendre aussi ?

Je n'ai jamais vraiment su ce qu'est un firewall... :blush:

Et il y aussi un autre problème pour me deconnecter, que j'explique sur ce post...

Gribouille

Link to comment
Share on other sites

Bonjour Gribouille26,

Je te conseille d'installer Ad-aware ET Spybot

Les 2 sont complémentaires selon moi.. En tout cas Ad-aware trouve des trucs que

Spybot ne trouve pas et inversement !

Et soit dit en passant à ta place je virerai Norton :whistling: Tu trouves des antivirus gratuits tout aussi performant, voir plus...

Good luck !

Link to comment
Share on other sites

Bonjour

Pour la défintion d'un firewall (pare-feu): http://fr.wikipedia.org/wiki/Firewall

L'usage d'un firewall est insdispensable pour la sécuritée de ton ordinateur, il filtre les paquets entrant et sortant selon des règles pré-établie et certaines que tu ajouteras en indiquant ceux que tu veux laisser entrer et ceux que tu ne veux pas

Je te déconseille le par-feu de windows, qui ne filtre pour ainsi dire pas les paquets sortantset qui possède des failles de sécuritées

Des firewalls ils en existent beaucoups ce petit comparatif , permetta de mieux guider ton choix

Personnellement je te conseil Look 'n Stop, que j'utilise maintenant est qui est vraiment très bien, tu peux trouver aisément des règles prédéfinies sur le net, qui t'aideront à le paramêtrer au mieux

En ce qui concerne Spybot, je te le conseil aussi, il reconnait tout un tas de spywares, son module Tea timer t'avertis à chaque tentative de modification de clé dans la base de registre

Il est conseillé aussi de coupler spybot avec Spyware Blaster, qui à l'image de la fonction vaccination de spybot empêche l'installation de spywares et filtres les activex

Le seul incovénient de Spybot et qu'il ne scanne pas le disque, et qu'il n'effectue pas d'analyse heuristique, il effectue une recherche ciblée, en fonction de sa base de donnée, mais il reste malgré tout très efficace

Je conseil aussi Ewido security suite, que j'ai eu l'occasion de tester, après un conseil très avisé, je dosi dire que je l'ai trouvé particulièrement efficace

Link to comment
Share on other sites

Merci pour toutes ces infos !

J'ai de la lecture...

J'alllais vous dire que c'était fini, mais viens d'avoir un autre message:

Generic Host Process for Win32 Services

GHP for Win32 Services a rencontré un problème et doit fermer.....

J'ai viré 2 fichiers avec Norton et tout un tas avec Ad-Aware !! :hourra:

Gribouille

Link to comment
Share on other sites

Courage, Gribouille, on est avec toi... ;)

(Juste pour info et sans vouloir dire que c'est le bon choix)

J'utilise depuis pas mal de temps :

- Norton AntiVirus (avec abonnement payant aux mises à jour automatiques)

- Spybot (contre les spywares; gratuit)

- Sygate Personnal Firewall (firewall; gratuit)

Jean-Luc

Edited by Jeanluc
Link to comment
Share on other sites

Mon Pc c'est éteint avec un compte à rebours sans aucune intervention possible !!

As tu installé les mises à jour windows, quel service pack utilises tu?

Si je te demande ça, c'est parce que ce type de problème me fais pense à un virus de type blaster, qui profite d'une faille de sécurité de windows

http://www.secuser.com/alertes/2003/blaster.htm

Fais un tour sur le lien et dis moi si ce compte à rebour corresponds à la capture décran?

Link to comment
Share on other sites

Courage, Gribouille, on est avec toi...  ;)

- Norton AntiVirus (avec abonnement payant aux mises à jour automatiques)

- Spybot (contre les spywares; gratuit)

- Sygate Personnal Firewall (firewall; gratuit)

Jean-Luc

<{POST_SNAPBACK}>

Merci Jean-Luc.

J'ai, maintenant, Norton avec mises à jour, Ad-Aware, Look'n'stop (firwall à l'essai), et je vais prendre Spybot...

As tu installé les mises à jour windows, quel service pack utilises tu?

Si je te demande ça, c'est parce que ce type de problème me fais pense à un virus de type blaster, qui profite d'une faille de sécurité de windows

http://www.secuser.com/alertes/2003/blaster.htm

Fais un tour sur le lien et dis moi si ce compte à rebour corresponds à la capture décran?

<{POST_SNAPBACK}>

Pas de mise à jour Windows.

Effectivement, j'ai eut plusieurs alertes Worm de la part de Norton ! Et cette capture ressemble...

Mais apparement, plus rien depuis que j'ai mis le Firewall....

Gribouille

Link to comment
Share on other sites

Bonjour, après'm chaud et ensoleillé,

Qlques conseils de mon cru:

Changer Norton antivirus pour plusieurs autres, gratuit, et les faires tourner chacun, l'un après l'autre. Virer ce qui est détecté (si c'est possible).

Si possible, faire un scan en ligne (via ravantivirus, ou bitdefender).

Un petit coup de HIJACKTHIS, la log à faire analyser sur www.hijackthis.de, et virer ce qui est louche (demander avant...).

Installer et configurer correctement un firewall...

Bon courage... ;)

xpatval

Link to comment
Share on other sites

J'avais pas entendu avant, mais...J'ai aussi un problème de son !

J'ai un bruit de Windows comme une fenetre d'alerte qui s'ouvre, mais il n'y a rien à l'écran !!!

C'est super flippant.... :boude:

[edit] C'est le Firewall qui fait ce son à chaque fois qu'il arrete quelquechose !!

J'ai enlevé le son, il était en option!

C'est normal qu'il stop un "truc" toutes les 3 secondes en moyenne??? :huh: [/edit]

Gribouille

Link to comment
Share on other sites

Pas de mise à jour Windows.

Effectivement, j'ai eut plusieurs alertes Worm de la part de Norton ! Et cette capture ressemble...

Mais apparement, plus rien depuis que j'ai mis le Firewall....

C'est normal, ton firewall bloque la tentative d'attaque, je te conseil vivement de mettre à jour windows, pour t'éviter d'autres désagréments

L'attaque se fait via le port 135, tu peux bloquer grâce à un petit utilitaire Zeb protrect, il permet de fermer d'autres ports sensibles

Pour des firewalls gratuit, kerio est pas mal

http://eservice.free.fr/firewall-gratuit.html

tu as zone alarm, mais il est bien meilleur en version pro

Look 'n stop et Nod32 (antivirus) malgré le fait qu'ils soient payant sont je pense les meilleurs protections du moment

Comparatif, très bien fait de 8 antivirus

http://www.matbe.com/articles/softs/antivirus/page1.php

sinon un log hijackthis de ton pc serait une bonne idée aussi

Link to comment
Share on other sites

J'aime pas trop les mises à jour Windows. C'est censées renforcer la sécurité, mais à chaque fois, ça créé un problème... :angry:

Je vais me renseigner sur Kerio et Zone Alarm, mais si vous avez d'autres avis.... ;)

J'ai remarqué aussi qu'à chaque fois que je veux ouvrir l'appli du Firewall, j'ai une alerte Norton : Windows/mcsecure.exe W32.Spybot.worm

Mon ami Google ne m'apprend rien sur ce fichier mcsecure.exe !

Gribouille

Link to comment
Share on other sites

J'ai fait un Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 18:15:08, on 17/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\mcsecure.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

C:\Program Files\Soft4Ever\looknstop\looknstop.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

c:\Program Files\Numericable\Mon Assistant Internet\bin\mpbtn.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Fff\LOCALS~1\Temp\Rar$EX00.562\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer par NUMERICABLE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file)

R3 - URLSearchHook: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\NUMERI~1\MONASS~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Mon Assistant Internet.lnk = C:\Program Files\Numericable\Mon Assistant Internet\bin\matcli.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll

O9 - Extra 'Tools' menuitem: D***** Toolbar - {E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - C:\Program Files\D*****\dix.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C'est long....

Et j'y comprend rien !!

Merci à ceux qui sauront me traduire ça. :)

Gribouille

Link to comment
Share on other sites

Kerio semble être un bon produit, mais n'est véritablement gratuit (les mises à jour ...) que 30 jours... ensuite, tu restes avec ta dernière mise à jour...

xpatval

Link to comment
Share on other sites

Bonjour à tous

j'ai mis un peu de temps à te donner le résultat de ton logs, mais hier soir j'avais pas mal de trucs à faire

Ton log hijackthis n'est pas mauvais du tout, toutes les manips que tu as déjà fais ont éradiquées pas mal de trucs

Au risque de me répéter, il est impératif que tu fasses tes mises à jours, windows est semblable à un gruyère sauf que les trous sont des failles de sécuritées

Les virus de type blaster que tu as attrapé exploite la faille rpc (qui sera corrigé par les majs, ou en fermant le port 135), ces virus, scannent des plages d'ips et dès qu'ils trouvent un ordinateur vulnérable, ils se jettent dessus, pour l'instant tu es relativement tranquille car en mettant un firewall, tu l'empèches de rentrer, mais il frappe toujours à la porte

Bon passons au logs maintenant

télécharges le freeware CCleaner, qui va te permettre de nettoyer tes repertoires temporaires, tes lists mru

Redémarres en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

Démarres l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuies sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

Tu cliques sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionnes

msecure puis double click sur la ligne

vérifies dans Chemin d'accès des fichiers exécutables qu'il

s'agit bien de C:\WINDOWS\mcsecure.exe

dans Type de démarrage, sélectionnes Désactiver / valide la modification.

Tu relances hijackthis et tu refais un scan, et tu fixes ces deux lignes

R3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file)

O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe

Penses à fermer toutes les fenêtres qui peuvent être ouverte à par hijackthis bien sur

Assures toi d'avoir accés à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Actives la case : Afficher les fichiers et dossiers cachés

Désactives la case : Masquer les extensions des fichiers dont le type est connu

Désactives la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Supprimes le fichier (s'il existe encore) :

C:\WINDOWS\mcsecure.exe

Lances et exécutes CCleaner

Recaches les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

redémarres ton ordinateur et colles un nouveau rapport hijackthis ici :)

Edited by zave
Link to comment
Share on other sites

Merci beaucoup Zave !!

Pour le début, pas de problème, mais je coince là:

Tu relances hijackthis et tu refais un scan, et tu fixes ces deux lignes

R3 - URLSearchHook: (no name) - _{E50C062C-4C6E-4A7D-8A5B-BCDA8DA9F1F9} - (no file)

O23 - Service: msecure (mcsecure) - Unknown owner - C:\WINDOWS\mcsecure.exe

Penses à fermer toutes les fenêtres qui peuvent être ouverte à par hijackthis bien sur

Assures toi d'avoir accés à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Actives la case : Afficher les fichiers et dossiers cachés

Désactives la case : Masquer les extensions des fichiers dont le type est connu

Désactives la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Supprimes le fichier  (s'il existe encore) :

C:\WINDOWS\mcsecure.exe

Lances et exécutes CCleaner

Recaches les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

redémarres ton ordinateur et colles un nouveau rapport hijackthis ici :)

<{POST_SNAPBACK}>

Pour faire le nouveau scan, je ressort du mode sans echec ? :blush:

Que signifie "fixer"?

Gribouille

Link to comment
Share on other sites

Une petite chose, qu'il ne faut pas oublier de faire:

HORS CONNEXION (important!): tu vas dans le panneau de configuration -> performance et maintenance -> système. Dans l'onglet restauration du système, coche "désactiver la restauration du système".

Une fois fait, et toujours hors connexion internet, tu peux lancer un scan antivirus.

Il arrive que certaines merdes aillent se mettre dans des zones systèmes non accessibles par les antivirus.

Une fois ton scan fini, décoche la désactivation restauration système.

xpatval

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
×
×
  • Create New...