Problème Firewall Windows XP Sp2

Claude LaFrenière

21/07/2005 à 23:15

Bonjour *Totoche* :

Nouvel indice :

Je n'avais pas fait gaffe aux chemins tout a l'heure mais j'au un répertoire
C:System Volume Information où semblent se concentrer les spys (éh oui j'en
ai à nouveau grrrrrr) et bine sûr ce repertoire est inacessible "accès
refusé"...

Raf
(en tout cas même si on n'y arrive pas, merci de votre réactivité les gars
;) )

Ce dossier contient les fichiers de restauration système...
Si des points de restaurations ont été créés avec les spy
ils seront restaurés dès que tu en fera l'utilisation...

Désactive la restauration système:
cela va effacer tous les points de rest.
puis réactive la restauration (si tu est absolument certain
que ton PC est "net"):
cela va créer un nouveau point de rest. et permettra à
W xp d'en créer d'autres par la suite...

Démarrer | panneau de configuration | système | restauration système...

:)

--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Claude LaFrenière

21/07/2005 à 23:17

Bonjour *Totoche* :

(éh oui j'en ai à nouveau grrrrrr)

Fait un scan de HijackThis et poste-le ici pour que je regarde.

http://www.merijn.org/downloads.html

:)

--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Tsilefy

22/07/2005 à 00:32

Dans le message news:42e00e7a$0$3149$,
Totoche a écrit:

Non non..

Si ce n'était pas un PC d'une PME, je l'aurais reformaté depuis
longtemps mais je ne peux pas et là juste le fait de l'avoir
rebranché à mon routeur ça y'est c'est l'invasion pourtant j'ai tout
verrouillé les ports juste msn le port 80et outlook express qui sont
autorisés... Je ne comprends plus rien c'est à se taper la tête contre les
murs (mais je le fais pas la petite dort ^_^)

Raf

Le fait d'avoir des attaques sur un port n'est signe ni d'une infection ni
de la bonne santé, ça arrive, c'est tout.
Hijackthis comme suggéré par Claude est une bonne idée. Une autre serait de
passer un coup de sfc/ scannow avec un cd de xp sp2.
--
Tsilefy

JLdB

22/07/2005 à 00:52

Bonsoir!Sur son post :42e00b6b$0$900$,
Totoche nous écrit:

.....Nouvel indice :
Je n'avais pas fait gaffe aux chemins tout a l'heure mais j'au un
répertoire C:System Volume Information où semblent se concentrer les
spys (éh oui j'en ai à nouveau grrrrrr) et bine sûr ce repertoire est
inacessible "accès refusé"...

Généralement les trojans mais, par exemple, surtout les Backdoor qui se
logent en premier ds c:windowssystem32 ex="activezipper.oex" ; ton scan'
(AV ou autre AntiSpy) les supprime *mais* si tu n'avais pas désactivé la
restau' système, ils changent de noms et tu les retrouves ds
c:SystemVolumeinformrestoreex={ 25D10...OCX} d'où le conseil de tjrs
désactiver la RS avant tout scan' ;-) Cdlt à tous JLdB

Euthymenes

22/07/2005 à 11:03

sans compter que j'ai mis un firewall temporaire Kerio PF pour éviter tout

Je crois que Kerio désactive le pare-feu de XP SP2 -> Enlever temporairement
le Kerio temporaire, pour voir ...

Totoche

22/07/2005 à 11:38

Non j'ai regardé sur le mien ou Kerio est installé et les options ne sont
pas grisées...

Raf

"Euthymenes" <ah241991(at)myrealbox(point)com> a écrit dans le message de
news: 42e0b667$0$6845$

sans compter que j'ai mis un firewall temporaire Kerio PF pour éviter
tout

Je crois que Kerio désactive le pare-feu de XP SP2 -> Enlever
temporairement le Kerio temporaire, pour voir ...

Totoche

22/07/2005 à 11:54

Logfile of HijackThis v1.99.1
Scan saved at 11:53:25, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:Program FilesKerioPersonal Firewallpersfw.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1GrisoftAVGFRE~1avgcc.exe
C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
C:WINDOWSMixer.exe
C:Program FilesSAGEMSAGEM 800-840dslmon.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32msiexec.exe
C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsMarie YvonneBureauHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.cegetel.net/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = http7.0.0.1:8010
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
F3 - REG:win.ini: run O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {D38B8208-389E-1547-B7A8-176405DD1896} - (no file)
O2 - BHO: (no name) - {D78B820F-389D-6146-B7DB-136404DF1893} - (no file)
O2 - BHO: (no name) - {E2A6B20F-15AE-5472-9AEB-234934EF35A3} - (no file)
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP
O4 - HKLM..Run: [AVG7_EMC] C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU..RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:Program FilesGoto
SoftwareVade RetroVaderetro_oe.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM
800-840dslmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:Program
FilesAOL Toolbartoolbar.dll/SEARCH.HTML
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
http://www.advnt01.com/dialer/france_pa.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} -
http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) -
https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} -
http://download.spyspotter.com/spyspotter/SpSp29952.40opt/SpySpotterCabInstall.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
O23 - Service: WIN32 (image) - Unknown owner - C:WINDOWSimage.exe (file
missing)
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner -
C:WINDOWSSystem32netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner -
C:Program FilesFichiers communsPanda SoftwarePavShldpavprsrv.exe (file
missing)
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
C:Program FilesKerioPersonal Firewallpersfw.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner -
C:WINDOWSSystem32cfmon.exe (file missing)

Raf

"Claude LaFrenière" a écrit dans le message de
news: jfen6f78iqb1$

Bonjour *Totoche* :

(éh oui j'en ai à nouveau grrrrrr)

Fait un scan de HijackThis et poste-le ici pour que je regarde.

http://www.merijn.org/downloads.html

:)

--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Logfile of HijackThis v1.99.1
Scan saved at 11:53:25, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:Program FilesKerioPersonal Firewallpersfw.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1GrisoftAVGFRE~1avgcc.exe
C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
C:WINDOWSMixer.exe
C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32msiexec.exe
C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsMarie YvonneBureauHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.cegetel.net/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = http7.0.0.1:8010
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
F3 - REG:win.ini: run O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {D38B8208-389E-1547-B7A8-176405DD1896} - (no file)
O2 - BHO: (no name) - {D78B820F-389D-6146-B7DB-136404DF1893} - (no file)
O2 - BHO: (no name) - {E2A6B20F-15AE-5472-9AEB-234934EF35A3} - (no file)
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP
O4 - HKLM..Run: [AVG7_EMC] C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU..RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:Program FilesGoto
SoftwareVade RetroVaderetro_oe.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st
800-840dslmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:Program
FilesAOL Toolbartoolbar.dll/SEARCH.HTML
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
http://www.advnt01.com/dialer/france_pa.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} -
http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) -
https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} -
http://download.spyspotter.com/spyspotter/SpSp29952.40opt/SpySpotterCabInstall.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
O23 - Service: WIN32 (image) - Unknown owner - C:WINDOWSimage.exe (file
missing)
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner -
C:WINDOWSSystem32netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner -
C:Program FilesFichiers communsPanda SoftwarePavShldpavprsrv.exe (file
missing)
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
C:Program FilesKerioPersonal Firewallpersfw.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner -
C:WINDOWSSystem32cfmon.exe (file missing)

Raf

"Claude LaFrenière" <No_InterNUT@AntiPebkac.org> a écrit dans le message de
news: jfen6f78iqb1$.1b4avixcxtltc.dlg@40tude.net...

Bonjour *Totoche* :

(éh oui j'en ai à nouveau grrrrrr)

Fait un scan de HijackThis et poste-le ici pour que je regarde.

http://www.merijn.org/downloads.html

:)

--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Vous avez filtré cet utilisateur ! Consultez son message

Logfile of HijackThis v1.99.1
Scan saved at 11:53:25, on 22/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
C:Program FilesKerioPersonal Firewallpersfw.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1GrisoftAVGFRE~1avgcc.exe
C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
C:WINDOWSMixer.exe
C:Program FilesSAGEMSAGEM 800-840dslmon.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32msiexec.exe
C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsMarie YvonneBureauHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.cegetel.net/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = http7.0.0.1:8010
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
F3 - REG:win.ini: run O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {D38B8208-389E-1547-B7A8-176405DD1896} - (no file)
O2 - BHO: (no name) - {D78B820F-389D-6146-B7DB-136404DF1893} - (no file)
O2 - BHO: (no name) - {E2A6B20F-15AE-5472-9AEB-234934EF35A3} - (no file)
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [AVG7_CC] C:PROGRA~1GrisoftAVGFRE~1avgcc.exe /STARTUP
O4 - HKLM..Run: [AVG7_EMC] C:PROGRA~1GrisoftAVGFRE~1avgemc.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU..RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:Program FilesGoto
SoftwareVade RetroVaderetro_oe.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM
800-840dslmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:Program
FilesAOL Toolbartoolbar.dll/SEARCH.HTML
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:WINDOWSSystem32Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
http://www.advnt01.com/dialer/france_pa.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} -
http://207.234.185.217/ABoxInst_int5.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM
ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) -
https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} -
http://download.spyspotter.com/spyspotter/SpSp29952.40opt/SpySpotterCabInstall.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:PROGRA~1GrisoftAVGFRE~1avgupsvc.exe
O23 - Service: WIN32 (image) - Unknown owner - C:WINDOWSimage.exe (file
missing)
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner -
C:WINDOWSSystem32netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner -
C:Program FilesFichiers communsPanda SoftwarePavShldpavprsrv.exe (file
missing)
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
C:Program FilesKerioPersonal Firewallpersfw.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner -
C:WINDOWSSystem32cfmon.exe (file missing)

Raf

"Claude LaFrenière" a écrit dans le message de
news: jfen6f78iqb1$

Bonjour *Totoche* :

(éh oui j'en ai à nouveau grrrrrr)

Fait un scan de HijackThis et poste-le ici pour que je regarde.

http://www.merijn.org/downloads.html

:)

--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Claude LaFrenière

22/07/2005 à 12:23

Bonjour *Totoche* :

Merci pour le log.
Je regarde ça et te donne le résultat bientôt.

:)

--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Claude LaFrenière

22/07/2005 à 13:02

Bonjour *Totoche* :

*Ordinateur infecté jusqu'aux oreilles !!!*

Vérifie chacun des points relevés.

Pour virer il faut cocher la ligne correspondante dans HijackThis et faire un "fix".
j'ai indiqué *FIX* pour chacun de ceux-ci.

Pour désactiver les autres mentionnés:
démarrer | exécuter | msconfig | onglet démarrage et décocher...

Voir aussi les informations à la fin.
Mais fix avant !!!

1) 6 svchost ?
N'aurais-tu pas des services lancés inutilement ?
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe

Les 7 "variétés" de SVCHOST (SP2):

C:WINDOWSSystem32svchost.exe -k rpcss
C:WINDOWSSystem32svchost.exe -k DCOMLaunch
C:WINDOWSSystem32svchost.exe -k netsvcs
C:WINDOWSSystem32svchost.exe -k LocalService
C:WINDOWSSystem32svchost.exe -k NetworkService
C:WINDOWSSystem32svchost.exe -k HTTPFilter
C:WINDOWSSystem32svchost.exe -k imgsvc

Ceux-là tu doit toujours les avoir...
C:WINDOWSsystem32svchost.exe -k DcomLaunch
C:WINDOWSsystem32svchost.exe -k rpcss
C:WINDOWSSystem32svchost.exe -k netsvcs

puis
C:WINDOWSsystem32svchost -k HTTPFilter
correspond au service HTTP SSL : machin de sécurité
Bonne idée de l'avoir.

C:WINDOWSsystem32svchost -k LocalService
corrrespond à des trucs tel que WebClient et autres bidules inutiles

C:WINDOWSsystem32svchost -k Network Service
correspond à des trucs de réseau ou à des trucs tel que Client DNS : inutile.

C:WINDOWSSystem32svchost.exe -k imgsvc
correspond à Acquisition d'image Windows (WIA)

2) MSIEXEC ? Pourquoi ce truc est-il en exécution ?
Installation à compléter ? Désinstallation ?
Le service correspondant doit être en mode de démarrage manuel...
C:WINDOWSSystem32msiexec.exe

3) Quel est ce truc étrange s.v.p. ???
à désactiver ou à supprimer éventuellement...
C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe

4) Le proxy ne doit-il pas être sur le port 8080 ??? À vérifier.
Et de quel Proxy s'agit-il s.v.p. ?
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http7.0.0.1:8010

5) *FIX* Quels sont ces trucs ? Vire-les !
02 - BHO: (no name) - {D38B8208-389E-1547-B7A8-176405DD1896} - (no file)
O2 - BHO: (no name) - {D78B820F-389D-6146-B7DB-136404DF1893} - (no file)
O2 - BHO: (no name) - {E2A6B20F-15AE-5472-9AEB-234934EF35A3} - (no file)

6) 2 Bidules Nvidia : utile ou pas ? à désactiver pour voir. Si pas d'effets négatifs : virer.
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

7) Relatif au commentaire # 3 ...
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe

8) *FIX* *** VIRE CES 2 MERDES !!! ***
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_pa.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe

9) Minitel ??? ça existe encore ce machin ???
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

10) *FIX* *** VIRE CETTE MERDE !!! ***
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab

11) *FIX* *** VIRE CETTE MERDE !!! ***
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx

12) *FIX* *** VIRE CETTE MERDE !!! ***
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.40opt/SpySpotterCabInstall.cab

13) ??? C'est quoi ce machin ??? Désactiver pour voir. Virer si nécessaire.
O23 - Service: WIN32 (image) - Unknown owner - C:WINDOWSimage.exe (file missing)

14) *FIX* *** VIRE CETTE MERDE !!! = Codbot-M Worm !!! ***
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:WINDOWSSystem32netddeclnt.exe (file missing)

15) *FIX* Tu as AVG comme anti-virus : que fait ce machin Panda ? VIRE !
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:Program FilesFichiers communsPanda SoftwarePavShldpavprsrv.exe

16) *FIX* *** VIRE CETTE MERDE = w32.Randex Variant !!! ***
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:WINDOWSSystem32cfmon.exe (file missing)

1- Fait ceci par la suite :

a)
"Mini-AV" à utiliser en mode sans échec:

TrendMicro : désactive ton AV avant de l'utiliser sinon il y aura un
false positive et il ne sera pas possible de l'utiliser.

Le "sysclean":
http://www.trendmicro.com/download/dcs.asp
+
les définitions de virus :
http://www.trendmicro.com/download/pattern.asp

Placer ces 2 trucs dans le même dossier et lancer:
la procédure est un peu longue mais le produit est fiable.

b) scan en ligne:
Anti-virus:
http://fr.trendmicro-europe.com/

2- Informations à consulter et à comprendre.

Pour la sécurité:
http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html

Pour les services:
http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html

3- Outils

Outils indispensables pour contrôler ce qui est lancé sur ta bécane.
Utilise-les fréquemment pour voir et connaître ton système.

Autorun de Mark Russinovich:
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Starter de Code Stuff:
(+ ergonomique que msconfig)
http://codestuff.mirrorz.com/

Process Explorer de Mark Russinovich:
(un gestionnaire des tâches amélioré)
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Voilà.

Tiens-nous au courant.

:)
--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour *Totoche* :

*Ordinateur infecté jusqu'aux oreilles !!!*

Vérifie chacun des points relevés.

Pour virer il faut cocher la ligne correspondante dans HijackThis et faire un "fix".
j'ai indiqué *FIX* pour chacun de ceux-ci.

Pour désactiver les autres mentionnés:
démarrer | exécuter | msconfig | onglet démarrage et décocher...

Voir aussi les informations à la fin.
Mais fix avant !!!

1) 6 svchost ?
N'aurais-tu pas des services lancés inutilement ?
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe

Les 7 "variétés" de SVCHOST (SP2):

C:WINDOWSSystem32svchost.exe -k rpcss
C:WINDOWSSystem32svchost.exe -k DCOMLaunch
C:WINDOWSSystem32svchost.exe -k netsvcs
C:WINDOWSSystem32svchost.exe -k LocalService
C:WINDOWSSystem32svchost.exe -k NetworkService
C:WINDOWSSystem32svchost.exe -k HTTPFilter
C:WINDOWSSystem32svchost.exe -k imgsvc

Ceux-là tu doit toujours les avoir...
C:WINDOWSsystem32svchost.exe -k DcomLaunch
C:WINDOWSsystem32svchost.exe -k rpcss
C:WINDOWSSystem32svchost.exe -k netsvcs

puis
C:WINDOWSsystem32svchost -k HTTPFilter
correspond au service HTTP SSL : machin de sécurité
Bonne idée de l'avoir.

C:WINDOWSsystem32svchost -k LocalService
corrrespond à des trucs tel que WebClient et autres bidules inutiles

C:WINDOWSsystem32svchost -k Network Service
correspond à des trucs de réseau ou à des trucs tel que Client DNS : inutile.

C:WINDOWSSystem32svchost.exe -k imgsvc
correspond à Acquisition d'image Windows (WIA)

2) MSIEXEC ? Pourquoi ce truc est-il en exécution ?
Installation à compléter ? Désinstallation ?
Le service correspondant doit être en mode de démarrage manuel...
C:WINDOWSSystem32msiexec.exe

3) Quel est ce truc étrange s.v.p. ???
à désactiver ou à supprimer éventuellement...
C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe

4) Le proxy ne doit-il pas être sur le port 8080 ??? À vérifier.
Et de quel Proxy s'agit-il s.v.p. ?
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = http7.0.0.1:8010

5) *FIX* Quels sont ces trucs ? Vire-les !
02 - BHO: (no name) - {D38B8208-389E-1547-B7A8-176405DD1896} - (no file)
O2 - BHO: (no name) - {D78B820F-389D-6146-B7DB-136404DF1893} - (no file)
O2 - BHO: (no name) - {E2A6B20F-15AE-5472-9AEB-234934EF35A3} - (no file)

6) 2 Bidules Nvidia : utile ou pas ? à désactiver pour voir. Si pas d'effets négatifs : virer.
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

7) Relatif au commentaire # 3 ...
O4 - Startup: Vade Retro pour Outlook Express.lnk = C:Program FilesGoto SoftwareVade RetroVaderetro_oe.exe

8) *FIX* *** VIRE CES 2 MERDES !!! ***
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_pa.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int5.exe

9) Minitel ??? ça existe encore ce machin ???
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

10) *FIX* *** VIRE CETTE MERDE !!! ***
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab

11) *FIX* *** VIRE CETTE MERDE !!! ***
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - https://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx

12) *FIX* *** VIRE CETTE MERDE !!! ***
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.40opt/SpySpotterCabInstall.cab

13) ??? C'est quoi ce machin ??? Désactiver pour voir. Virer si nécessaire.
O23 - Service: WIN32 (image) - Unknown owner - C:WINDOWSimage.exe (file missing)

14) *FIX* *** VIRE CETTE MERDE !!! = Codbot-M Worm !!! ***
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:WINDOWSSystem32netddeclnt.exe (file missing)

15) *FIX* Tu as AVG comme anti-virus : que fait ce machin Panda ? VIRE !
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:Program FilesFichiers communsPanda SoftwarePavShldpavprsrv.exe

16) *FIX* *** VIRE CETTE MERDE = w32.Randex Variant !!! ***
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:WINDOWSSystem32cfmon.exe (file missing)

1- Fait ceci par la suite :

a)
"Mini-AV" à utiliser en mode sans échec:

TrendMicro : désactive ton AV avant de l'utiliser sinon il y aura un
false positive et il ne sera pas possible de l'utiliser.

Le "sysclean":
http://www.trendmicro.com/download/dcs.asp
+
les définitions de virus :
http://www.trendmicro.com/download/pattern.asp

Placer ces 2 trucs dans le même dossier et lancer:
la procédure est un peu longue mais le produit est fiable.

b) scan en ligne:
Anti-virus:
http://fr.trendmicro-europe.com/

2- Informations à consulter et à comprendre.

Pour la sécurité:
http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html

Pour les services:
http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html

3- Outils

Outils indispensables pour contrôler ce qui est lancé sur ta bécane.
Utilise-les fréquemment pour voir et connaître ton système.

Autorun de Mark Russinovich:
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

Starter de Code Stuff:
(+ ergonomique que msconfig)
http://codestuff.mirrorz.com/

Process Explorer de Mark Russinovich:
(un gestionnaire des tâches amélioré)
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Voilà.

Tiens-nous au courant.

:)
--
Claude LaFrenière [MVP] :-{ )

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Euthymenes

22/07/2005 à 13:57

"Totoche" a écrit dans le message de news:
42e0be73$0$22292$

Non j'ai regardé sur le mien ou Kerio est installé et les options ne sont
pas grisées...

Raf

Cela doit dépendre des versions de Kerio et/ou de XPSP2, car sur mon PC
c'était le cas ...

Problème Firewall Windows XP Sp2

10 réponses

Veuillez sélectionner un problème