Bonjour,
Depuis 3 ou 4 jours, qq minutes après avoir ouvert OE et IE, une multitude
de fenêtres s'ouvrent en rafale (pour les arrêter, je suis obligé de passer
par Ctrl+Alt+suppr) :
"Avertissement avast! Message suspect ! Il y a trop de mails identiques
envoyés dans un faible intervalle de temps, etc..."
Voici mes rapports de scan d'hier et d'aujourd'hui:
* Débuté le dimanche 9 septembre 2007 20:23:04
C:\System Volume
Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP126\A0038262.sys
[L] Win32:Agent-KDC [Trj] (0)
Fichier supprimé avec succès...
C:\System Volume
Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP126\A0038263.exe\[UPX]
[L] Win32:Lmir-BK [Trj] (0)
Fichier supprimé avec succès...
Fichiers infectés : 2
* Débuté le lundi 10 septembre 2007 20:00:32
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet
Files\Content.IE5\AT8LM5KZ\n2_05_09_07_ea_0[1].exe\[UPX] [L]
Win32:Obfuscated-BTM [Trj] (0)
Fichier supprimé avec succès...
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet
Files\Content.IE5\Q3CR0JUT\n2_08_09_07_ea_0[1].exe\[UPX] [L]
Win32:Obfuscated-BTM [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\svchost.exe\exe.exe:$DATA\[UPX] [L] Win32:Obfuscated-BTM
[Trj] (0)
Fichier supprimé avec succès...
Fichiers infectés : 3
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Yves Lambert
Que faut-il faire ? Merci d'avance Eric
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin.
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur hijackthis.de ce qui permet :
1. Une première analyse automatique 2. De l'enregistrer ce qui permet de poster ici non pas le log mais l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le log brut même par ceux qui savent.
-- NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et peut être pris d'une voie négative selon la teneur du message.
Que faut-il faire ?
Merci d'avance
Eric
Le message d'avertissement du FW peut indiquer la présence d'un ver (et
non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin.
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça
fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un
rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet :
1. Une première analyse automatique
2. De l'enregistrer ce qui permet de poster ici non pas le log mais
l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le
log brut même par ceux qui savent.
--
NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et
peut être pris d'une voie négative selon la teneur du message.
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin.
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur hijackthis.de ce qui permet :
1. Une première analyse automatique 2. De l'enregistrer ce qui permet de poster ici non pas le log mais l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le log brut même par ceux qui savent.
-- NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et peut être pris d'une voie négative selon la teneur du message.
sinpa
"Yves Lambert" a écrit dans le message de news:
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin. Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les
doigts....
Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet : Merci, je vais le faire...
"Yves Lambert" <leiota@invalid.bidart.net> a écrit dans le message de news:
90cir4xah1.ln2@usine-a-gaz.bidart.net...
Le message d'avertissement du FW peut indiquer la présence d'un ver (et
non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin.
Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les
doigts....
Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet :
Merci, je vais le faire...
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin. Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les
doigts....
Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet : Merci, je vais le faire...
Nina Popravka
On Tue, 11 Sep 2007 13:50:01 +0200, Yves Lambert wrote:
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un rapport hjackthis ici.
Inutile et même nuisible. J'en ai vraiment plus que par dessus la tête, quand je fais une recherche sur un exécutable quelconque, de devoir filtrer, sinon je tombe sur des milliers de rapports HijackThis avec des réponses sans intérêt dont je n'ai *strictement* rien à foutre. -- Nina
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça
fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un
rapport hjackthis ici.
Inutile et même nuisible.
J'en ai vraiment plus que par dessus la tête, quand je fais une
recherche sur un exécutable quelconque, de devoir filtrer, sinon je
tombe sur des milliers de rapports HijackThis avec des réponses sans
intérêt dont je n'ai *strictement* rien à foutre.
--
Nina
On Tue, 11 Sep 2007 13:50:01 +0200, Yves Lambert wrote:
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un rapport hjackthis ici.
Inutile et même nuisible. J'en ai vraiment plus que par dessus la tête, quand je fais une recherche sur un exécutable quelconque, de devoir filtrer, sinon je tombe sur des milliers de rapports HijackThis avec des réponses sans intérêt dont je n'ai *strictement* rien à foutre. -- Nina
boris ryser
Yves Lambert wrote:
Que faut-il faire ? Merci d'avance Eric
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ? ça peut être un nouveau machin.
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur hijackthis.de ce qui permet :
1. Une première analyse automatique 2. De l'enregistrer ce qui permet de poster ici non pas le log mais l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le log brut même par ceux qui savent.
Hello
A propos de l'analys e de ce lo hijackthis, avec XP c'était assez facilement compréhensible...
Mais depuis que j'ai vista.... hijckthis révêle tant et tant de lignes..... que le log devient complètement ésotérique ¨ Y a-t'il quelque part un tutorial de hijackthis pour vista ?
boris ryser
Yves Lambert wrote:
Que faut-il faire ?
Merci d'avance
Eric
Le message d'avertissement du FW peut indiquer la présence d'un ver
(et non un cheval de Troie). Les signature de l'antivirus sont elles
à jour ?
ça peut être un nouveau machin.
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça
fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un
rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur
hijackthis.de ce qui permet :
1. Une première analyse automatique
2. De l'enregistrer ce qui permet de poster ici non pas le log mais
l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le
log brut même par ceux qui savent.
Hello
A propos de l'analys e de ce lo hijackthis,
avec XP c'était assez facilement compréhensible...
Mais depuis que j'ai vista....
hijckthis révêle tant et tant de lignes..... que le log devient complètement
ésotérique ¨
Y a-t'il quelque part un tutorial de hijackthis pour vista ?
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ? ça peut être un nouveau machin.
Il est inutile (enfin c'est mon avis et je le partage : 10Ko en RTC ça fait pas loin de 5'' de téléchargement pour un sigal nul) de poster un rapport hjackthis ici. Il est beaucoup plus pertiennt de le poster sur hijackthis.de ce qui permet :
1. Une première analyse automatique 2. De l'enregistrer ce qui permet de poster ici non pas le log mais l'uri de l'analyse, qui est beaucoup moins coton à interprêter que le log brut même par ceux qui savent.
Hello
A propos de l'analys e de ce lo hijackthis, avec XP c'était assez facilement compréhensible...
Mais depuis que j'ai vista.... hijckthis révêle tant et tant de lignes..... que le log devient complètement ésotérique ¨ Y a-t'il quelque part un tutorial de hijackthis pour vista ?
boris ryser
Yves Lambert
"Yves Lambert" a écrit dans le message de news:
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin. Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les
doigts....
Heu : si le firewall est désactivé, il ne risque plus de regimber
Je vous conseille (fortement) :
1. De refaire un scan antivirus (et un scan hijackthis) *en mode sans échec* (Touche F8 au moment du boot : choix mode sans échec. hijackthis peut être programmé pour démarrer au boot. Faire ce choix.
2. De vérifier (pour pouvoir dire : ouf, c'est une fausse alerte... mais j'y crois de moins en moins) -a- si le(s) soi-disant trojans viré par l'AV ne sont pas un/des vers (recherche sur une base de donnée de virus avec le nom que lui donne l'antivirus, et recherche sur google itou sur le nom que donne l'antivirus : un trojan peut avoir un payload comme un virus, ça peut être d'envoyer des mails aux copains et aux copines mais je n'y croit pas trop (si un trojan qui envoie des spam ou qui zombifie la machine pour envoyer des spams : ce genrte d'activité ne peut alerter qu'un FW (*) (ou un examen scrupuleux des connexions) le gestionnaire de tâche et l'activité du processeur peut être indécelable : un Z80 peut faire ce genre de chose)
-b- que le FW est bien en activité (la présence de son icône dans la barre des tâche n'est pas un gage : ce n'est pas suffisant)
Je vois un moyen simple : lancer une application réseau qu'il ne connait pas (un autre logiciel de courrier ou de news qu'OLE, un autre browser qu'Iexplore etc. et vopir comment le FW réagit (en profiter pour se familiariser avec le nouvel outil qui aura quelques chances d'être plus sûr à l'usage que les produits canoniques d'XP)
Plus de détail sur le pourquoi du comment dans ma réponse à Nina Popravka
-> vérifier aussi (avec des outils "propres" les fichiers de démarrage ie pas que le registre mais y compris vu qu'un rootkit, un cheval de troie peut très bien ne pas utiliser le registre pouir se lancer au démarrage
(*) et aussi le service abuse de votre fournisseur d'accès
-- NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et peut être pris d'une voie négative selon la teneur du message.
"Yves Lambert" <leiota@invalid.bidart.net> a écrit dans le message de news:
90cir4xah1.ln2@usine-a-gaz.bidart.net...
Le message d'avertissement du FW peut indiquer la présence d'un ver (et
non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin.
Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les
doigts....
Heu : si le firewall est désactivé, il ne risque plus de regimber
Je vous conseille (fortement) :
1. De refaire un scan antivirus (et un scan hijackthis) *en mode sans
échec* (Touche F8 au moment du boot : choix mode sans échec. hijackthis
peut être programmé pour démarrer au boot. Faire ce choix.
2. De vérifier (pour pouvoir dire : ouf, c'est une fausse alerte... mais
j'y crois de moins en moins)
-a- si le(s) soi-disant trojans viré par l'AV ne sont pas un/des vers
(recherche sur une base de donnée de virus avec le nom que lui donne
l'antivirus, et recherche sur google itou sur le nom que donne
l'antivirus : un trojan peut avoir un payload comme un virus, ça peut
être d'envoyer des mails aux copains et aux copines mais je n'y croit
pas trop (si un trojan qui envoie des spam ou qui zombifie la machine
pour envoyer des spams : ce genrte d'activité ne peut alerter qu'un FW
(*) (ou un examen scrupuleux des connexions) le gestionnaire de tâche et
l'activité du processeur peut être indécelable : un Z80 peut faire ce
genre de chose)
-b- que le FW est bien en activité (la présence de son icône dans la
barre des tâche n'est pas un gage : ce n'est pas suffisant)
Je vois un moyen simple : lancer une application réseau qu'il ne connait
pas (un autre logiciel de courrier ou de news qu'OLE, un autre browser
qu'Iexplore etc. et vopir comment le FW réagit (en profiter pour se
familiariser avec le nouvel outil qui aura quelques chances d'être plus
sûr à l'usage que les produits canoniques d'XP)
Plus de détail sur le pourquoi du comment dans ma réponse à Nina Popravka
-> vérifier aussi (avec des outils "propres" les fichiers de démarrage
ie pas que le registre mais y compris vu qu'un rootkit, un cheval de
troie peut très bien ne pas utiliser le registre pouir se lancer au
démarrage
(*) et aussi le service abuse de votre fournisseur d'accès
--
NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et
peut être pris d'une voie négative selon la teneur du message.
Le message d'avertissement du FW peut indiquer la présence d'un ver (et non un cheval de Troie). Les signature de l'antivirus sont elles à jour ?
ça peut être un nouveau machin. Je suis connecté depuis 15 mn et rien ne s'est passé. Croisons les
doigts....
Heu : si le firewall est désactivé, il ne risque plus de regimber
Je vous conseille (fortement) :
1. De refaire un scan antivirus (et un scan hijackthis) *en mode sans échec* (Touche F8 au moment du boot : choix mode sans échec. hijackthis peut être programmé pour démarrer au boot. Faire ce choix.
2. De vérifier (pour pouvoir dire : ouf, c'est une fausse alerte... mais j'y crois de moins en moins) -a- si le(s) soi-disant trojans viré par l'AV ne sont pas un/des vers (recherche sur une base de donnée de virus avec le nom que lui donne l'antivirus, et recherche sur google itou sur le nom que donne l'antivirus : un trojan peut avoir un payload comme un virus, ça peut être d'envoyer des mails aux copains et aux copines mais je n'y croit pas trop (si un trojan qui envoie des spam ou qui zombifie la machine pour envoyer des spams : ce genrte d'activité ne peut alerter qu'un FW (*) (ou un examen scrupuleux des connexions) le gestionnaire de tâche et l'activité du processeur peut être indécelable : un Z80 peut faire ce genre de chose)
-b- que le FW est bien en activité (la présence de son icône dans la barre des tâche n'est pas un gage : ce n'est pas suffisant)
Je vois un moyen simple : lancer une application réseau qu'il ne connait pas (un autre logiciel de courrier ou de news qu'OLE, un autre browser qu'Iexplore etc. et vopir comment le FW réagit (en profiter pour se familiariser avec le nouvel outil qui aura quelques chances d'être plus sûr à l'usage que les produits canoniques d'XP)
Plus de détail sur le pourquoi du comment dans ma réponse à Nina Popravka
-> vérifier aussi (avec des outils "propres" les fichiers de démarrage ie pas que le registre mais y compris vu qu'un rootkit, un cheval de troie peut très bien ne pas utiliser le registre pouir se lancer au démarrage
(*) et aussi le service abuse de votre fournisseur d'accès
-- NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et peut être pris d'une voie négative selon la teneur du message.
Yves Lambert
Mais depuis que j'ai vista.... hijckthis révêle tant et tant de lignes..... que le log devient complètement ésotérique ¨ Y a-t'il quelque part un tutorial de hijackthis pour vista ?
Renseignez vous sur le site hijackthis.de
-- NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et peut être pris d'une voie négative selon la teneur du message.
Mais depuis que j'ai vista....
hijckthis révêle tant et tant de lignes..... que le log devient
complètement ésotérique ¨
Y a-t'il quelque part un tutorial de hijackthis pour vista ?
Renseignez vous sur le site hijackthis.de
--
NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et
peut être pris d'une voie négative selon la teneur du message.
Mais depuis que j'ai vista.... hijckthis révêle tant et tant de lignes..... que le log devient complètement ésotérique ¨ Y a-t'il quelque part un tutorial de hijackthis pour vista ?
Renseignez vous sur le site hijackthis.de
-- NE TAPEZ PAS TOUTES LES MAJUSCULES! On le considère comme criant, et peut être pris d'une voie négative selon la teneur du message.