(Devenir Membre)
   
Menu
 Le Site
 Le Forum

 
Site optimisé pour :

Qui est en ligne ?
» 0 Membre(s)
» 84 Invité(s)


[ Voir toute la liste ]

Vus dernièrement :
 
Statistiques
Sur le Forum ZenZone

Membres : 3774
Dernier Inscrit :

nicolas78

79617 Messages
dans 9887 Sujets.
 
ZenZone IRC

Pseudo :

 
[En Cours] [Résolu] Scan en ligne impossible ?
   eMule ZenZone Index du Forum -> Internet
[Résolu] Scan en ligne impossible ? Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Mar Oct 25, 2005 11:38
Sujet du message: [Résolu] Scan en ligne impossible ?
Répondre en citant

Mon anti-virus m'a découvert après un scan le virus : Troj_Bagle.bi
The_taxation.zip\taxes.exe
dans le dossier : windows\temp\MXAVX4\taxes.exe
il n'arrive pas à l'effacer.
J'ai regardé dans le dossier windows\temp ... il n'y a rien ??
j'ai cherché sur le site de symantec, ils ne connaissent pas.

J'ai essayé de faire un scan en ligne avec :
http://secuser.com/index.htm
http://www.pandasoftware.com/products/activescan.htm

et tous les deux bloquent que ce soit avec firefox ou internet explorer,
IE me dit qu'il faut installer le contrôle Activex, ce que j'essaye de faire, et il me dit encore avec secuser.com :
"Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control."
Panda ouvre une fenêtre 1/2 sec puis la referme lol

... une idée ?
je vais aussi faire une recherche google, mais pourquoi ne puis-je pas scanner mon dd en ligne ??

EDIT :

j'ai trouvé ça :
Troyen
Tooso.L
Tooso.L est un programme malicieux de type cheval de Troie envoyé massivement par spamming aux internautes. Il se présente sous la forme d'un courrier électronique dont l'objet et le corps sont vides, accompagné d'un fichier joint avec une extension .RAR ou .ZIP (18 Ko) sur le thème des impôts ("taxes"). Si ce fichier est exécuté, il tente de désactiver ou supprimer les principaux antivirus et pare-feux personnels, puis tente de télécharger et d'exécuter une variante du virus Bagle depuis une liste de sites distants.


PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une manière générale, même si son nom est attrayant il ne faut pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi par l'expéditeur du message.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le troyen. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'antivirus gratuit en ligne pour rechercher et éliminer le troyen.

sur secuser.com

bizarre, car je ne clique jamais (!) sur des pièces jointes douteuses ! Mouarf.

EDIT :

mais ils ne proposent pas de mode de désinfection autre que le scan en ligne (et la MAJ des ant-virus), donc ... ?


Dernière édition par Platane le Ven Oct 28, 2005 12:43; édité 3 fois
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Titine
ZenAdmin
ZenAdmin


Anniversaire : 14 Nov
Zodiaque: Scorpion
Sexe: Sexe:Femme
Inscrit le: 15 Déc 2003
Messages: 12462
Localisation: «« Tout Près des Etoiles »»


Citer
Posté le: Mar Oct 25, 2005 12:31
Sujet du message:
Répondre en citant

Salut Platane

As tu regardé dans le processus (ctrl+alt+suppr) si tu n'as pas un "taxes.exe" qui tourne?
Si oui clic droit , terminer le processus.
Verifies si dans ton dossier "windows/temp ...." tu n'as pas de fichiers cachés
en haut du poste de travail => outils => optiion des dossiers => affichage => decoches "masquer les fichiers cachés"
et regardes a nouveau dans windows/temp .... , si tu le vois ^^
bon courrage
@++
bibi
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Mar Oct 25, 2005 12:42
Sujet du message:
Répondre en citant

merci titine :)

alors j'ai :
- qttask.exe
- taskmgr.exe
- MXTask.exe
qui tournent, mais je crois qu'il ne s'agit pas de ça, il me semble que ceux-ci sont habituels

et je n'ai rien trouvé en affichant les fichiers cachés (bonne idée qd mm lol !) : le dossier Temp reste toujours vide, et il ne trouve pas de "taxes" ou "taxation" dans le dossier Windows ... :-?
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Mar Oct 25, 2005 20:40
Sujet du message:
Répondre en citant

bon ... je remet ma question première :

J'ai essayé de faire un scan en ligne avec :
http://secuser.com/index.htm
http://www.pandasoftware.com/products/activescan.htm

et tous les deux bloquent que ce soit avec firefox ou internet explorer,
IE me dit qu'il faut installer le contrôle Activex, ce que j'essaye de faire, et il me dit encore avec secuser.com :
"Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control."
Panda ouvre une fenêtre 1/2 sec puis la referme lol

Qu'est-ce que c'est que ce contrôle Activex , et pourquoi ne puis-je pas utiliser le scan en ligne ??
... une idée ?
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Mar Oct 25, 2005 20:57
Sujet du message:
Répondre en citant

salut platane
essaies ceci :

Killbox

Téléchargement :

http://www.downloads.subratam.org/KillBox.zip
http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Ce petit utilitaire permet entre autres choses de se débarrasser de fichiers qui reviennent systématiquement et que l'on ne peut effacer car ils sont actifs... ça arrive souvent avec certaines dll spywares impossibles à décharger de la mémoire, même avec des programmes comme unlocker (blog) ou coppylock
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Mar Oct 25, 2005 21:05
Sujet du message:
Répondre en citant

merci keskia, mais ... malheureusement je n'arrive pas à trouver le fichier en question comme je le marque plus haut : mon anti-virus me dit qu'il existe, mais moi je ne le vois pas :(
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Keyser Soze
Membre d'Honneur
Membre d'Honneur





Inscrit le: 29 Fév 2004
Messages: 1364



Citer
Posté le: Jeu Oct 27, 2005 00:40
Sujet du message:
Répondre en citant

Bon, un petit coup d'HijackThis, comme les copains...

Pour le télécharger : http://80.237.140.193/downloads/hijackthis_199.zip
Pour interpréter ses résultats : http://www.hijackthis.de/fr

Eventuellement tu nous colles le log d'HJT si tu as des doutes sur les corrections à apporter.
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Jeu Oct 27, 2005 08:39
Sujet du message:
Répondre en citant

merci keyser, je ne connaissais pas ce log, mais on dirait que tout est ok, j'ai juste ça, je ne sais pas ce que c'est, mais ça ne paraît pas méchant.

O17 - HKLM\System\CCS\Services\Tcpip\..\{B848C50A-55EC-472D-ACB4-64E12161A424}: NameServer = xxx.xxx.x.xx,xxx.xx.xx.x
Eventuellement méchant
Effacer cette inscription si le domaine n’appartient pas à l’ISP ou à un réseau qui vous est connu. Il en est de même pour les inscriptions du type 'SearchList'.
Currently there is no visitors rating!
Effacer si l’IP ou le domaine 'xxx.xxx.x.xx,xxx.xx.xx.x' ne vous est pas connu.

Je pense que le virus trouvé l'a été dans une archive (?), que celle-ci ne s'est pas forcément déclenchée (?)

Enfin on dirait qu'il n'y a pas d'application louche.

toujours est-il que :
1) je n'arrive pas à trouver "The_taxation.zip\taxes.exe"
2) je ne peux pas faire de scan en ligne (ni avec IE ni avec Firefox)
:evil:


Dernière édition par Platane le Jeu Oct 27, 2005 09:58; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Keyser Soze
Membre d'Honneur
Membre d'Honneur





Inscrit le: 29 Fév 2004
Messages: 1364



Citer
Posté le: Jeu Oct 27, 2005 09:40
Sujet du message:
Répondre en citant

N'efface pas ça... ce sont les DNS primaire et secondaire de ton FAI.

1) S'il ne le trouve pas c'est qu'il a dû le supprimer. Tout dépend des réglages définis au niveau de ton AV pour l'action à entreprendre lorsqu'il découvre une infection virale.

2) Si tu ne peux pas faire de scan en ligne, c'est à cause de ton pare feu (modem ou logiciel) et/ou d'un mapping de ports non satisfaisant pour les dits scans.
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Jeu Oct 27, 2005 10:12
Sujet du message:
Répondre en citant

merci pour la réponse, donc je n'efface pas,

1) mon anti-virus/pare-feu est SystemSuite5, et c'est en faisant le scan de l'ordi avec lui qu'il m'a signalé ce virus. Il n'a pas pu l'effacer, et ne m'a pas dit la raison. Et il est encore sur l'ordi (bien que je ne le "voie" pas), car en repassant le scan il le trouve encore.


2) j'ai essayé de faire les scans en ligne avec :

http://secuser.com/outils/index.htm
http://www.pandasoftware.com/products/activescan.htm
http://fr.trendmicro-europe.com/consumer/housecall/

pareil, ça ne fonctionne pas.
Pour le mapping de ports, je ne sais pas comment voir ce qui bloque.
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
AncienMembre Anon.
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Aoû 2004
Messages: 1425



Citer
Posté le: Jeu Oct 27, 2005 12:06
Sujet du message:
Répondre en citant

article trouver sur zataz
je pense que ca ressemble pas mal a ce probleme platane


Mytob.KN, qui se répand par divers messages électroniques. Une fois installé, il se connecte à un serveur IRC afin de recevoir des commandes à distance.

Mytob.KN stoppe des process appartenant à différents outils de sécurité, comme des logiciels antivirus et firewalls, ainsi que des process d’autres malwares. Il empêche également l’utilisateur du PC d’accéder à certaines pages web, principalement celles des éditeurs antivirus. Sur les ordinateurs sous Windows XP Service Pack 2, il met hors service le firewall intégré dans ce système d’exploitation.
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Jeu Oct 27, 2005 12:20
Sujet du message:
Répondre en citant

'ci kekia pour la réponse, j'ai le nom du virus :
Troj_Bagle.bi alias Tooso.L , dans la description ils disent qu'il cherche à désactiver anti-virus & pare-feu, mais je n'ai rien remarqué de spécial de ce côté là, tout fonctionne.
C'est vrai que je ne peux pas me connecter à un anti-virus en ligne, mais toutes les autres pages web fonctionnent bien.
A suivre ^^
Voir le profil de l'utilisateur Envoyer un message privé
 
Voir le sujet précédent Voir le sujet suivant 
Auteur Message
Platane
Bouddha Zen
Bouddha Zen





Inscrit le: 23 Juin 2004
Messages: 2585
Localisation: Montpellier


Citer
Posté le: Ven Oct 28, 2005 12:42
Sujet du message:
Répondre en citant

Bon, déjà j'ai réussi à effacer le .zip contenant le virus ... mon anti-virus me proposait de détruire le virus automatiquement mais ça ne fonctionnait pas, et ailleurs il me proposait d'effacer simplement le fichier ... et ça a marché. Un scan supplémentaire ne me trouve plus rien (ouf !). J'explique cela par :
Citation:

Il se présente sous la forme d'un courrier électronique dont l'objet et le corps sont vides, accompagné d'un fichier joint avec une extension .RAR ou .ZIP (18 Ko) sur le thème des impôts ("taxes"). Si ce fichier est exécuté, il tente de désactiver ou supprimer les principaux antivirus et pare-feux personnels, puis tente de télécharger et d'exécuter une variante du virus Bagle depuis une liste de sites distants.
Donc à priori je n'avais que le trojan (cheval de troie) sur mon ordi, et il ne s'était pas encore déclenché, donc l'anti-virus ne pouvait pas me supprimer le virus car il n'était pas encore là. Il suffisait de supprimer le fichier.

Maintenant j'ai aussi trouvé comment scanner mon ordi en ligne, j'avais désactivé le pare-feu-anti-virus, mais pas Ad-Watch qui apparemment me bloquait l'accès au "contrôle ActivX".
Scan effectué sur panda, il m'a trouvé et enlevé 3 virus (avec leurs variantes), brrr... quelle horreur.
Voir le profil de l'utilisateur Envoyer un message privé
 
   eMule ZenZone Index du Forum -> Internet
 
Page 1 sur 1
 

Sauter vers:   

Creative Commons License Gf-Portail - phpBB v2 © 2001, 2006 phpBB Group - Traduction par : phpBB-fr.com