49 replies to this topic

[VB 6]

Tu pourrais le mettre ici et ensuite un des membres peut le mettre en invisible comme ça seul les membres "de confiance" pourront le voir et comme ça on peut tous essayer de t'aider

PS: enfin, moi mon truc ici, c'est plutôt le hardware ^^'

chuuuut... jaque bower est là
il s'agit d'une mission secret

[herve91]

Tu pourrais le mettre ici et ensuite un des membres peut le mettre en invisible comme ça seul les membres "de confiance" pourront le voir et comme ça on peut tous essayer de t'aider

PS: enfin, moi mon truc ici, c'est plutôt le hardware ^^'

Bonjour Thelwin Argon et aux autres
je l'ai envoyé directement à Txon

merci pour tout

Hervé

[VB 6]

Tu pourrais le mettre ici et ensuite un des membres peut le mettre en invisible comme ça seul les membres "de confiance" pourront le voir et comme ça on peut tous essayer de t'aider

PS: enfin, moi mon truc ici, c'est plutôt le hardware ^^'

Bonjour Thelwin Argon et aux autres
je l'ai envoyé directement à Txon

merci pour tout

Hervé

Te inquiete pas, ont n'a mis le FBI sur le cou.
Il y'a peux de chance qu'il veront tes données, enfin je dit peux de chance

[herve91]

Tu pourrais le mettre ici et ensuite un des membres peut le mettre en invisible comme ça seul les membres "de confiance" pourront le voir et comme ça on peut tous essayer de t'aider

PS: enfin, moi mon truc ici, c'est plutôt le hardware ^^'

Bonjour Thelwin Argon et aux autres
je l'ai envoyé directement à Txon

merci pour tout

Hervé

Te inquiete pas, ont n'a mis le FBI sur le cou.
Il y'a peux de chance qu'il veront tes données, enfin je dit peux de chance

Bonsoir,

Il n'y a pas de problème je n'ai rien à cacher.
Mais j'ai simplement envoyer un message privé.
Bonne soirée

Hervé

[herve91]

Bonjour


petit probleme

Est ce que l'email de Txon que l'on m' a donné en MP Fonctionne car je n'arrive pas a envoyer un message par yahoo

merci

Hervé

[Thelwin Argon]

Je ne sais pas du tout, tu l'as envoyé en MP ou en Email ???

[herve91]

Je ne sais pas du tout, tu l'as envoyé en MP ou en Email ???

Bonsoir

par MP et email, c'est bon je dois en refaire un autre

merci

Hervé

[herve91]

Bonjour,

depuis quelques jours je suis en contact avec Txon et j'ai pu faire différents scans et j'attends avec impatience les résultats.

Txon, m'a un peu démoralisé car il parait que mon PC est sale ( pourtant je le lave à l'eau de Javel, non je plaisante).
Mais c'est vrai que mon épouse écrit en chinois et nomme ses documents aussi en chinois et des logiciels comme "IE Privacy Keeper" nettoie mais ne sait pas quoi faire avec ce type de document.
Txon a remarqué aussi que j'avais plusieurs currentsetxxx dans ma BR et je ne sais même pas comme cela s'est fait.
Même en utilisant des logiciels comme Jv16Tools..., nCleanner, CCleanner et autre il reste toujours des traces.
Voila ce que je peux dire concernant mes problèmes, j'ai fait plusieures fois des recherches sur mon PC pour essayer de trouver des fichiers TXT pour où il y aurait des URL mais pour l'instant je n'ai trouvé.

Merci

Hervé

[VB 6]

Salut hervé !!
Personnellement, ce que j'aurais déjà fait c'est par exemple demander à ton épouse de rédigé ces documents en conséquence.
Par exemple, éviter les mots clés du style (Privacy,Keeper,IE) ainsi que l'abus de caractère.

Le mieux serait dans ton cas, de sauvé tes documents important sur un support externe (CD,DD externe).
Par la suite réfléchir ce que tu va installer comme système exploitation (Windows XP ; pro ; famililale),
et selon dans quelle type de cas figure (sur 1 partition,2 partitions distincte etc).

A partit de ce moment la, tu installe tes logiciels de défance de confiance (normal) (anti virus,anti spyware).
Éviter les (anti rookite,etc) pour la simple raison, qu'il sont assé agressif (risque de supprimer des fichiers important,vital aux systèmes,etc).

Selon moi, si tu redémare de cette base. Il y y'aura beaucoups moin de risque de contamination externe, et si tu cordonne correctement les documents de x & y, afin que ceux ci soit bien destincte (en cas de problème).

Verifie aussi t'a configuration réseau (si ton ip est en dynamique), si tu possède un réseau wifi pensez à le securiser.
J'etait un oeil sur monitoring les traffics qui se font sur ton ordinateur, afin d'avoir une idée.
Eviter les navigations sur les sites étrangers (chinois etc), ainsi que favorisé une certain monotonie de t'a nouvelle configuration.


Voila, je pense avoir fait le tours.

Bonne chance !!

Mais entre nous je voudrait pas te donner d'espoir inutiles.
Ceux -ci n'est que mon avis.

Ce message a été modifié par VB 6 - 03 septembre 2008 - 21:26 .

[noisette]

Salut Hervé,

j'ai bien relu le topic en entier, et à vrai dire, à te lire, j'ai l'impression qu'une infection a été possible, probable, lors du surf sur le site Chinois d'informations sur les JO. Les alertes d'Antivir indiquaient sans doute que le site était piégé.

As-tu des souvenirs de ces alertes, ce qu'elles t'indiquaient, le plus exactement possible ?


Par ailleurs, il parait délicat de t'aider sans plus de renseignements, en particulier sans rapports (Hijackthis, Radix one click check, par exemple, etc).


Ce que tu peux faire, tout de même, c'est de désactiver la restauration système le temps que ton PC soit sain, et réaliser les scans classiques (antivir, ST, MBAM) en mode sans échec.

Enfin, que te dis RootRepeal ?


Bonne soirée

EDIT:

J'etait un oeil sur monitoring les traffics qui se font sur ton ordinateur, afin d'avoir une idée.

Exact. Déja fait avec OA ?

[VB 6]

Exact. Déja fait avec OA ?

Surveillance système :

• Téléchargement monitor systèm ici
• Tuto explicatif sur monitor safety systèm ici

Surveillance réseaux :

• http://www.lookatlan.com

[Txon]

Salut Hervé !

Txon, m'a un peu démoralisé car il parait que mon PC est sale ... Mais c'est vrai que mon épouse écrit en chinois et nomme ses documents aussi en chinois et des logiciels comme IE Privacy Keepe nettoie mais ne sait pas quoi faire avec ce type de document. Txon a remarqué aussi que j'avais plusieurs currentsetxxx dans ma BR et je ne sais même pas comme cela s'est fait.

Ton PC n'est pas sale, ton système est très sale et les "machins" laissés par ton épouse sont relativement bénins, tout au moins en apparence. Les logiciels de nettoyage classiques ne peuvent rien contre ça car ils sont orientés vers des points particuliers et ne vont jamais nettoyer les parties "sensibles", sauf peut-être nCleaner mais il ne peut pas être confié à une souris hésitante. Quant aux "currentsetxxx" en trop, ils viennent généralement de gros problèmes qu'a eu le système à un moment donné et sont très significatifs d'un Registre endommagé. As-tu essayé les deux nettoyeurs de Registre que je t'ai indiqués ?
L'analyse des logs antérieurs avec Radix n'a rien donné. Pour l'instant aucune infection cachée par un rootkit n'a été trouvée dans ta bécane. Il faudrait que tu recommences tes scans, fais-les avec RootRepealer 1.0.2 complet (il y a un bug dans les versions 1.1.0 et 1.1.1) en ne cochant que le disques C pour le "File scan", et en choisissant le type de disque adéquat dans les "Settings" - "Options", puis RkUnhooker 3.8 (si, si). Sauvegarde les logs et envoie les moi. Si infection il y a, il se pourrait qu'elle ne soit pas camouflée mais qu'elle soit inconnue de ton AV. Essaie en plus un scan avec un ou même deux antivirus différents du tien et externes (en neutralisant ton AV le temps de ce scan) ... voir >ICI<. Ca prend du temps, mais tu peux les envoyer avant d'aller faire des courses ou une longue sieste cochonne.
@+

[Thelwin Argon]

"Ça prend du temps, mais tu peux les envoyer avant d'aller faire des courses ou une longue sieste cochonne."

Je dois avouer que de ta part ça m'a un peu étonné ^^'
Et fais sourire, comme d'hab. avec ton humour, j'avoue ^^
M'enfin...

Autrement tout les conseils que j'ai vu ici me semble bon à prendre, je ne peux qu'approuver...
Même si je pense encore que récupérer les données importantes puis tout formater et réinstaller reste la meilleure solution...

[herve91]

Bonsoir à tous Noidsette, Txon, Thelwin Argon, VB 6

Sérieux, ce n'est pas des "machins" mais des documents Word qu'elle a écrit en chinois avec des noms chinois, mais c'est vrai de Ccleaner et autres ne savent pas interprétés.
Si elle écrit des documents en chinois c'est déja pour son job comme elle a une rubrique dans un magazine consacré à l'automobile. Pour être un peu plus précis c'est sur l'art de vivre à la française et une petite partie pour Citroën.

Lorsque je regarde avec l'explorateur de Windows je vois bien les noms écrit en chinois mais Ccleaner on voit des ??????? voila.
IEPrivacyKeeper est un logiciel de nettoyage.

Promis je vais refaire les scans avec RootRepealer 1.0.2, sinon je ne fais jamais de "une longue sieste cochonne" je fais que cela non mais.....

Pour les sites Chinois et autres (dont au moins un en francais qui sert aux téléchargements de photos pour le journalisme comme mon épouse a un accès autorisé), les messages sont des "accés denied".

Le formattage si je le fais, nos données sont sur une autre partition je ne suis pas fou à ce point.

J'ai déja fait des scans en ligne et cela n'a rien donné.

Pour Hijackthis, j'en fais régulièrement et j'en mets un en fin de ce log.
Dernier point je faire lire les liens de VB 6.


mon log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:50, on 05/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Tall Emu\Online Armor\oaui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Program Files\Tall Emu\Online Armor\oasrv.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\HijackTis\Scanneur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [zTrashReg] g:\logiciels téléchargés\utilitaire\logiciels\reparation systeme\trashreg.exe /AUTO
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD7E6999-FBFD-4AB0-8387-FA05376FE835}: NameServer =
(Adresse Ip enlevée par moi même)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe


Bonne nuit à tous et bon WE

Hervé

[noisette]

Salut

effectivement, je ne vois rien de plus que toi pour le rapport Hijackthis, à la condition que tu connaisses tout de même bien l'IP que tu as enlevé.

Pour les sites Chinois et autres (dont au moins un en francais qui sert aux téléchargements de photos pour le journalisme comme mon épouse a un accès autorisé), les messages sont des "accés denied".

les messages sont de Antivir ? ou c'est le serveur web qui renvoit cette réponse dans le navigateur ?

@ bientôt.

[Txon]

Salut Hervé!

Je ne suis pas un spécialiste de Hicktruc, loin de là, mais je n'y vois, comme tu l'avais dit, rien d'anormal.
En attendant les résultats des scans avec RootRepeal (en sélectionnant le type de disque) et aussi RkU 3.8, qui je l'espère, confirmeront qu'aucun rootkit ne se cache dans ton bouzin, je rappelle quelques idées avancées au début de ce topic ...

Je conseille de vérifier quels sont les programmes qui se lancent au démarrage avec, par exemple, Startup Explorer ou AutoRuns ou Startup Control Panel et Seem ou IceSword et de virer toutes les éventuelles bizarreries. Ensuite il y a le contrôle des ports ouverts avec IceSword à nouveau et des communications du PC avec Seem à nouveau, TCPView, Active Ports, Free Serial Port Monitor ou autre du même genre, éventuellement suivi de EMSA port blocker pour refermer des ports qui sont ouverts alors qu'ils ne devraient pas l'être.

PhishTank et encore plus Wot correspondent aux logiciels auxquels je faisais allusion : "un système quelconque de "filtrage" des sites dangereux ".
Les messages que tu reçois ne viennent-ils pas tout simplement de l'un d'eux (surtout Wot) ?

Je constate par ailleurs que Online Armor peut travailler en "Banking Mode"

When you switch the firewall into banking mode, your computer is only allowed to connect to legitimate banking sites. If you activate banking mode before you do any online financial transactions, Online Armor will ensure you cannot be deceived by fraudulent sites, phishing emails or other scams.

Les messages que tu reçois ne seraient-ils pas des messages de mise à jour de la banque de sites interdits de l'un de ces logiciels ?

@+

[herve91]

Bonsoir avant d'aller dormir


Les adresses ip sont celles que j'ai mis en dur dans ma configuration de ma connexion réseau ( Ip trouvées dans ma cong de Club internet)

Je n'ai jamais dis que j'avais des messages en dehors de Online Armor et de Spywareterminator qui proviennent en général quand Antivir se met à jour.
Par contre j'avais vu un fichier "bjc3000.dll" dans OA qui avait un accés internet que j'ai bloqué puis viré depuis.
J'ai vérifié sur mon pc, si j'avais des fichiers du même type. A une période j'avais une imprimante du meme nom ma is je n'avais jamas vu ce type de fichier ayant accés à internet.

Lorsque j'ai une alerte d'Antivir je ne cherche pas trop à comprendre je bloque.
Sinon depuis j'ai fait plusieurs scans et je n'ai rien vu de suspect.
Ce soir ou demain, je vais faire un scan avec RootRepealer 1.0.2 mais je ne trouve pas dans setting -> options le choix des disques à scanner.

En réfléchissant, je n'ai jamais eu de bizarries, en dehors de la découverte de ces fichiers.

Hervé

[Txon]

Je n'ai jamais dis que j'avais des messages en dehors de Online Armor et de Spywareterminator qui proviennent en général quand Antivir se met à jour.

Pourtant, à la lecture de ce que tu as écrit au début, j'avais compris que ton problème était celui de messages non désirés ...

Comme le titre l'indique, Je voudrais savoir si mon PC n'est pas piraté à distance?
Je m'explique cela arrive par intermittence de voir dans un recoin de mon PC des fichiers txt avec les adresses de sites porno... et aussi deux ou trois repertoires avec des images du même style.
Du dur pour la vie de couple... Je deviens un peu fou surtout que j'ai mis des protections.

Reçois-tu toujours ce genre de fichier. As-tu fait des screenshots ? As-tu essayé de "tracer" tes communications ?

Par contre j'avais vu un fichier "bjc3000.dll" dans OA qui avait un accés internet que j'ai bloqué puis viré depuis.
J'ai vérifié sur mon pc, si j'avais des fichiers du même type. A une période j'avais une imprimante du meme nom ma is je n'avais jamas vu ce type de fichier ayant accés à internet.

Pourtant, pour certaines imprimantes (pas des plus basiques) il existe des routines de connexion automatique aux site des fabricants pour d'eventuelles mises à jour des "drivers" et pas seulement ça.

Ce soir ou demain, je vais faire un scan avec RootRepealer 1.0.2 mais je ne trouve pas dans setting -> options le choix des disques à scanner.

Pour le choix du type de disque (pas du disque) c'est bien dans les [ Settings ] - [Options] qu'il faut chercher, comme indiqué -> ICI
N'oublie pas de faire aussi un scan complet avec RkUnhooker 3.8 (onglet "Report") pour que les résultats puissent être croisés et pour avoir un maximum de détails sur les hooks dans la IAT etc.)

@+

[herve91]

Bonjour,

Pour l'instant, je ne recois plus ce type de fichiers comme je fais régulièrement une recherche de fichiers qui ne sont même pas cachés.
Pour revenir à cette dll, c'est vrai que j'ai eu beaucoup de difficultés pour deinstaller le logiciel de cette imprimante.
Ensuite via OA, j'ai bloqué toutes les connections des logiciels qui n'ont pas le droit d'accés à internet. Quand je souhaite faire une mise à jour je fais soit une déinstallation avant et ensuite une installation ou alors j'autorise manuellement cette connection.

Par contre je ne sais pas trop comment configurer Word, je m'explique mon épouse fait souvent des copier collers de texte venant de sites et dans ce cas la Word demande un accés.

Pour les scans, ils sont fait et j'ai trouvé les paramétres pour le choix ( c'est au moment du scan qu'il faut cocher les disques).
Je les envoie par mail juste après.

Merci et cordialement à tous

Hervé

[VB 6]

Par contre je ne sais pas trop comment configurer Word, je m'explique mon épouse fait souvent des copier collers de texte venant de sites et dans ce cas la Word demande un accés.

C'est pas compliqué, au moment que tu fait coller dans ton document word OA te demandera si tu veut autorisé
la connexion tu fait autoriser.
A ce moment la word va ce connecter au site et copié ton texte.
Si il s'agit d'un site avec un accès (mot de passe,token etc), il suffit de rentrée les données manquant.