detection de virus, spytruc....

[roberto]

bonjour,

j'ai parcouru plusieurs de vos tuto sur les virus etc...
j'ai pu voir que tous les infection ne sont pas forcement détecter par tous les antimachin mais qu'aparament losque que tu "installait" un trojan, spyware , cela créai toujours une ligne sur hijackthis ou etait voyant sur process_explorer et a peut pres toujours vrai en general pour tous les saloperie d'internet ??

dans quel cas je ne pense pas qu'un anti spyware ou antivirus soit vraiment utile
j'ai pu voir aussi que la plupart du temps les antivirus/spywares n'arrivait pas a tous supprimer,
ne peut t'on pas supprimer les virus nous meme en supprimant la ligne dans hijackthis ou par destruction du processus dons j'ai vu l'option dans process explorer ??

voila sa fait a peine 2 semaines que g installer AVG8 et Zone alarm et spybot histoire de faire un scan (g virer le tea timer)
avant je vivai avec les virus (aucun logiciel de protection installer), je me suis meme apercu apres un scan avg que je reinstaller depuis 2 ans mon codec divix infecter par "gain", apres chaque remise au propre de mon pc en chargeant une image disque de mon pc du premier jour ou je l'ai eu (le scan ma meme suprimer 4-5 cracs et keygen,chui limite degouter XD)

bref depuis que j'ai cet antivirus + parfeu j'ai l'impression de mon pc est peut plu lent mais c'est encore plus voyant au demarage: environ 1min 20 pour affichage du bureau (bloquage d'au moins 30s sur le "bienvenue")et encore une 15 ene de seconde pour que tous les programme de demarage soit afficher et que je puisse commencer a faire quelque chose
avant (meme avec tous mes virus ) sa m'etait environ 30s de moins
et pourtant depuis mon petit netoyage je pense avoir le minimum, a par vista inspirat et la rocketdoc (j'avait envi de changement)

Code : Tout sélectionner

Logfile of HijackThis v1.99.1
Scan saved at 23:22:39, on 03/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\imapi.exe
E:\applications\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 91.121.165.60 L2authd.Lineage2.com
O1 - Hosts: 91.121.165.60 L2testauthd.lineage2.com
O1 - Hosts: 91.121.28.80 update.nProtect.com
O1 - Hosts: 91.121.28.80 update.nProtect.net
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137746527171
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll
O20 - AppInit_DLLs: avgrsstx.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

dernière question, lorsque que l'on telecharge un crack, temps que l'on double clic pas dessus il est bien inoffensif qu'il soit deziper ou non?
maintenant j'ai pris l'habitude de bloquer en masse l'acces a internet (avec zone alarm)de tous mes jeux cracker, cela sufirai t'il a rendre meme partiellement inoffensif un quelconque truc malveillant qui ce lancerai avec le exe cracker du jeu ?? tous au moin pour pas qu'un pirate prenne le controle du pc par cet intermediaire, a la limite si sa m'installe un truc pour des pub a la con sur le net je m'en fiche.

[SkyTech]

Salut,

Déjà vire les tt tes cracks et sa ira mieux même ceux sensé être inoffensif les crack c'est la m***e faut que les gens comprennent sa.

Tu as IE pas à jour, pas le SP3...

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Internet Explorer pas à jour, il contient des failles de sécurités qui peuvent via des exploits sur des sites WEB conduire à l'infection.

Lire ce sujet IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? et mets Internet Explorer 6 à jour.
En outre, tu peux faire un scan de vulnérabilités afin de vérifier que tes logiciels soient à jour sans failles de sécurités.

Puis installe le SP3 via Windows Udapte.

Et reposte un log Hijackthis.

EDIT : Tu n'as pas la dernière version d'Hijackthis en plus https://www.malekal.com/tutorial_HijackThis.html

[SkyTech]

Tu as aussi de bels infections, du online game il me semble.

Je pense que le mieux sa serait qu'un modérateur déplace le sujet en désinfection.

[Engil Hramn]

Non.
Je veux d'abord le log' avec la nouvelle version.
Téléchargement d'HiJackThis

[roberto]

voila je suis en pleine mise a jour du pc

je vien d'installer windows sp3 (au passage sa ma virer vista inspirat) me reste encore ie a mettre a jour

mais mon gros souci du moment que je vien de voir aujourd'hui (meme avant install de sp3)

c'est que le generic host process for win 32 service me pompe tout CPU



bref sa me fait ralentir le pc comme pas possible, c'est bien la première fois que sa rame autant pour le coup :s

peut etre ya t'il un rapport avec mon fichier host ?
mon host:

Code : Tout sélectionner

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
#      102.54.94.97     rhino.acme.com          # serveur source
#       38.25.63.10     x.acme.com              # hôte client x

127.0.0.1       localhost

# Serveur :: Lineage II TDG
91.121.165.60 L2authd.Lineage2.com
91.121.165.60 L2testauthd.lineage2.com

91.121.28.80 update.nProtect.com
91.121.28.80 update.nProtect.net
216.107.250.194 nprotect.lineage2.com

en dessous ya toute la liste des sites de spybot

merci de votre aide

[roberto]

pour le pb de svchost.exe g desactiver les mise a jour automatique et appliquer et apres je les ai remise etmaintant sa remarche normalement pour l'instant

j'ai mis a jour window, ie , java ,ainsi que acrobat reader, et flash mais ceux si ne sont pas detecter comme mis a jour par secunia


pourtant g bien Adobe Reader 9 d'installer, bizzare


voici mon nouveau rapport hijackthis:

Code : Tout sélectionner

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:01:39, on 05/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Documents and Settings\Administrateur\Bureau\process_explorer_11.21_anglais_14566\procexp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 91.121.165.60 L2authd.Lineage2.com
O1 - Hosts: 91.121.165.60 L2testauthd.lineage2.com
O1 - Hosts: 91.121.28.80 update.nProtect.com
O1 - Hosts: 91.121.28.80 update.nProtect.net
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137746527171
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5964 bytes

[cpasmafaute1]

Bonjour,

pour flash player, il reste des traces d'anciennes versions.
Tu peux utiliser le désinstalleur automatique:


il faudra ensuite installer flash à nouveau sur chaque navigateur...

Pour Adobe reader, j'ai réglé ce soucis en le désinstallant et en installant à la place foxit reader qui est beaucoup plus léger et qui ne souffre pas de failles 3 fois par mois comme Adobe reader...

[roberto]

voila j'ai desinstaller adobe acrobat reader
j'ai mi foxit a la place
pour le player flash sa na pas voulu partir car sa desinstall celui de adobe, mais pas celui de macromedia
mais firefox utile bien celui de adobe donc celui a jour



besoins d'un nouveau scan ?

[SkyTech]

Salut,

c'est que le generic host process for win 32 service me pompe tout CPU

C'est normal si tu installe des mise à jour.


Pour ton fichier host il est pourrit par des infections donc y a du boulot.

Pour Macromedia, Secunia propose un lien normalement où on peut trouver la dernière version.

[Engil Hramn]

Salut,
Y'as pas d'infection.

Pour le Host ça semble normal.
Ce sont des système anti-hacking et les ligne lineage2 sont en rapport avec les serveurs du dit jeu, qui après vérifications par mes soins, correspondent.
Donc le log est propre.

Au pire tu purge le Host et comme ça plus de doutes...
Tu joue a un jeu en ligne ?
Tu ne passerai pas par des moyens douteux pour ne pas payer ?

[roberto]

Pour ton fichier host il est pourrit par des infections donc y a du boulot.

les 5 lignes d'adresse c'est moi qui les ai ajouter manuellement
2 premiers ligne corresponde a un serveur de jeu mmo
les 3 autre lignes sa sert en théorie pour résoudre les problèmes de game guard

Pour Macromedia, Secunia propose un lien normalement où on peut trouver la dernière version.

oui c'est exact mais celui-ci me renvoi ver le player de adobe, en gros je tourne en rond
de plus je ne vois pas le player de macromedia dans ajout et suppression de programme, donc je croi que je vai laisser comme sa

[SkyTech]

Re,

les 5 lignes d'adresse c'est moi qui les ai ajouter manuellement

OK, donc c'est clean mais le plus souvent se sont des infections qui ajoute des lignes comme sa c'est rare de voir des gens toucher au fichier host.

Pour Macromédia si tu le recherche sur internet tu peut le télécharger ? (via le site de l'éditeur)

Fait un scan AVG et poste le rapport pour s'assurer qu'il n'y aucune traces de virus.

[roberto]

voila le scan d'avg

Code : Tout sélectionner

Scan "Scheduled scan" was finished.
Infections found:;"0"
Infected objects removed or healed:;"0"
Not removed or healed:;"0"
Spyware found:;"2"
Spyware removed:;"2"
Not removed:;"0"
Warnings count:;"2"
Information count:;"0"
Scan started:;"samedi 6 septembre 2008, 12:00:01"
Scan finished:;"samedi 6 septembre 2008, 14:10:19 (2 hour(s) 10 minute(s) 17 second(s))"
Total object scanned:;"729515"
User who launched the scan:;"SYSTEM"

Spyware
File;"Infection";"Result"
C:\System Volume Information\_restore{1D17D670-91B5-4225-8BB8-0F5C3100469C}\RP26\A0007530.exe;"Potentially harmful program HideExec.EV";"Moved to Virus Vault"
C:\System Volume Information\_restore{1D17D670-91B5-4225-8BB8-0F5C3100469C}\RP26\A0007530.exe:\327882R2FWJFW\hidec.exe;"Potentially harmful program HideExec.EV";"Moved to Virus Vault"

Warnings
File;"Infection";"Result"
C:\Documents and Settings\Administrateur\Cookies\[email protected][1].txt;"Found Tracking cookie.2o7";"Potentially dangerous object"
C:\Documents and Settings\Administrateur\Cookies\[email protected][1].txt:\msnportal.112.2o7.net.7225be6f;"Found Tracking cookie.2o7";"Potentially dangerous object"

sur firefox g installer noscript
mais ya t'il une liste noire deja faite de script dangereux ?
pour l'instant j'autorise tout et g mis double clic dans non fiable qui a apparament se trouve sur beaucoup de grand site pour la pub

je vai peut etre essayer de mettre le truc qui enleve les droit admin sur le navigateur
et pourquoi pas sandboxie , mais est-ce que celui-ci ne m'empeche pas pour les mise a jour automatique de firefox ?
les cookie etc.. ne vont etre dans un coin a par ? si sa n'ecri plu rien dans le system

autre question, le fait de changer le nom 'administrateur' pour la session, sa change le nom aussi dans document and setting ?

[SkyTech]

Salut,

Pour le rapport AVG c'est bon pas de virus.
(Ce qui est détecté se sont des restes).

sur firefox g installer noscript
mais ya t'il une liste noire deja faite de script dangereux ?
pour l'instant j'autorise tout et g mis double clic dans non fiable qui a apparament se trouve sur beaucoup de grand site pour la pub

je vai peut etre essayer de mettre le truc qui enleve les droit admin sur le navigateur
et pourquoi pas sandboxie , mais est-ce que celui-ci ne m'empeche pas pour les mise a jour automatique de firefox ?
les cookie etc.. ne vont etre dans un coin a par ? si sa n'ecri plu rien dans le system

Pour NoScript il me semble qu'il y a une liste noire mais comme pour les antivirus, les listes noires on toujours un métro de retard donc le mieux c'est de bloquer tt et de débloquer ce que tu autorises au fur et à mesure.

Pour sandboxie je pense pas que sa bloque les maj, pour les cookie pareil sa les bloques pas si tu veut un bloqueur de cookies tu peut prendre CS Lite.

Tuto pour firefox (avec CS Lite) https://www.malekal.com/securiser_Firefox.php
Tuto pour DropMyRights https://www.malekal.com/tutorial_DropMyRights.php
Tuto pour Sandboxie https://www.malekal.com/tutorial_Sandboxie.php

autre question, le fait de changer le nom 'administrateur' pour la session, sa change le nom aussi dans document and setting ?

Oui, je pense mais à vérifier je suis pas sûr.

[SkyTech]

Re,

Relance Hijackthis, coche ces lignes et clique sur Fixchecked.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Puis redémarre et reposte un log Hijackthis.