Spyware pop up qui ne part pas - Sécurité - Windows & Software
Marsh Posté le 14-07-2004 à 14:01:20
ThinkerR a écrit : Bonjour, |
1) je parie que avant de te connecter tu as oublié de patcher à mort ton pc (surtout avant d'aller sur des sites pas très catholique)
2) je comprend pas le rapport entre usb et plus simple pour firewall à ton gout...
ya plein de topic à propos de about:blank je te conseil d'y faire un tour.
Enfin, test mozilla/firefox.
Marsh Posté le 14-07-2004 à 14:07:08
Je n'ai pas eu besoin d'aller sur des sites de fesses pour choper ça je te rassure, c'était gratuit avec les 85 virus... D'ailleurs je tiens à dire que je ne suis pas aller sur un site de virus pour choper les virus, si je continue ton raisonnement .
Sinon les about blank c moi ki me suit énerver en utiliser spybot avec des paramètres avancées, j'ai tout foutu en about:blank sans chercher à comprendre.
Et ya rien à comprendre pour le firewall, si ce n'est qu'en ethernet je sais pas régler le firewall, quand je l'active je peux plus surfer avec un browser, tandis qu'en usb c détecté comme un modem et là le firewall ne fais plus chier.
Et qu'entends-tu par test mozilla/firefox, j'ai précisé que c'était mon navigateur par défaut au début de mon message !
Et pour finir effectivement avant de me connecter je n'ai pas patché à mort mon pc, mais ce n'est pas un oubli, car pour le patcher il faut ke je me connecte. CQFD
Marsh Posté le 14-07-2004 à 14:12:41
il fallait activer correctement ton firewall avant de te connecté.
De plus les virus et spyware ne sont pas arrivé par magie sur ton pc....
Marsh Posté le 14-07-2004 à 14:16:09
patparis : on te force pas à cliquer dessus, et il a clairement préciser que c'est des spywares.
Enfin les liens sont indispensables ça permet d'identifier le spyware
Marsh Posté le 14-07-2004 à 14:17:01
C pas très concstructif ce que tu me dis...
Et puis si c'est pour me contredire quand je donne des infos je te remercie
Ils sont pas arriver par magie, peut-être, mais pour les choper il a suffit que je navique entre clubic.com, rue-montgallet, et telecharger.com, car j'installer mon pc, donc je ne suis aller sur aucun site malveillant, et d'ailleur je ne suit pas aller chercher des mails.
Maintenant si tu n'as que l'intention d'étaler ta mauvaise humeur en guise de réponse merci bien
Marsh Posté le 14-07-2004 à 14:18:04
c'est constructif ce que je dis dans la mesure ou ça te permettera de ne pas rechopper ses virus et spywares.
c'est pourtant simple à comprendre.
Marsh Posté le 14-07-2004 à 14:22:03
bon ok je te remercie mais j'ai su tirer la leçon moi-même. C'est la première fois que je chope des saloperies dès ma première connexion. Dorénavant je prendrai mes precautions, mais j'ai pas attendu que tu me le dises pour le comprendre
Ce que je voudrais c'est qu'il y ait kk1 d'assez sympa pour m'aider à virer ce spyware sans tout réinstaller c tout, c'est pourquoi je dis ke c pas très consturctif ce que tu me proposes...
Marsh Posté le 14-07-2004 à 14:26:11
Citation : |
pas de trace de lmrss sur le web. par contre wserv32.exe c'est un des virus rbot.
Moi je virerai tout ça dans Hijack. Mais avant faut arréter le processus lmrss.exe les services lmrss et wserv32 je pense.
en ce qui concerne Ptipbmd et Ptipbmf je trouve ça plus que louche aussi
Marsh Posté le 15-07-2004 à 01:37:46
Merci depuis ton message plus de problème
Mais pourquoi mon antivirus (à jour) ne détecte pas ce virus ?
Et à quoi sert une recherche d'un fichier sous google ?
Si on trouve rien ça veut dire que c'est bon ?
Merci et bonne nuit !
Marsh Posté le 15-07-2004 à 09:27:17
ThinkerR a écrit : Merci depuis ton message plus de problème |
Question bête : il est à jour ton antivirus ?
Un collègue de travail m'a demandé une fois de l'aider à se débarraser d'un virus. Un p'tit coup sur SECUSER pour récupérer le patch, une p'tite disquette que je donne au collègue et c'est fini ... jusqu'à la semaine suivante et encore la suivante.
A la fin je lui demande : "tu utilises quoi comme périodicité de MAJ des signature avec ton antivirus ?" Et il me répond "Ha bon, il faut faire des MAJ ? Mais j'ai Norton depuis que j'ai acheté mon PC (2 ans environ), c'est un produit sérieux, pourquoi faut faire des MAJ ?"
No comment !
Marsh Posté le 15-07-2004 à 11:32:22
ThinkerR a écrit : Merci depuis ton message plus de problème |
j'espère que ça ira
je ne sais pas pourquoi panda à jour ne le trouve pas. il est connu pourtant ce virus
rechercher un nom de fichier sous google sert à apprendre plein de choses dessus. Alors soit il le trouve et tu sauras surement si c'est du bon ou du mauvais, soit il ne trouve pas et c'est pas cool
Marsh Posté le 15-07-2004 à 15:08:03
Aucun anti-virus n'est parfait...
Perso, je scanne mon PC au moins une fois par semaine avec 3 antivirus on line différents (et forcément à jour !!).
Il est déjà arrivé que l'un d'entre eux trouve un virus non détecté par le précédent...
Voici ceux que j'utilise:
Trend Micro: http://fr.trendmicro-europe.com
GeCAD Software: http://www.ravantivirus.com
Stinger (Mc Afee): http://vil.nai.com/vil/stinger
Marsh Posté le 15-07-2004 à 18:35:21
Oui mon antivirus est à jour, et il n'a pas détecté le virus wserv32.
En fait j'ai choisi cet antivirus suite à ce comparatif :
http://www.clubic.com/ar/1987-1.html
Voilà, sinon le pb a repris avec une intensité moindre mais je me suis rendu compte que je n'avais pas effacé les deux occurences de wserv32.
Sinon que dire de lmrss ? Je ne trouve pas de renseignement dessus sur le net et j'ai vu sur ce topic ( http://forum.hardware.fr/hardwaref [...] 1913-1.htm ) qu'il faut supprimer tous les run services quand on a xp ? Citation: (HKLM\..\RunServices : Programmes qui démarrent en premier au chargement de Windows, même si personne ne s'est encore logué (Attention: sous Windows 2000 et XP il ne devrait rien avoir ici !!!) )
Je le supprime ou bien ?
Marsh Posté le 16-07-2004 à 10:06:50
Bonjour,
Y'a plein de véroles qui ne sont pas forcément des virus. Donc, pas repérées par les anti-virus ;-)
En complément d'un AV et d'un Firewall, il faut absolument faire tourner un Anti-Spyware-Adware-Malware-etc.ware.
En gratuit: SpyBot Search&Destroy vivement recommandé, télécharger sur http://www.safer-networking.org/fr/index.html
En payant : PestPatrol, voir leur site http://www.pestpatrol.com/
Ces deux softs sont très efficaces (ils te disent même qu'il y a des spywares sur une instal de Windows toute fraîche ;-)
Sacré Bill!
Marsh Posté le 16-07-2004 à 20:30:16
Juste pour vous dire que le fichier LMRSS.exe serait ton probleme voici ce que jen sais
LMRSS.exe serait un variable de W32/gaobot.gen.l qui est une variante de SASSER qui serait sortie le 14 juillet dernier et qui affecte les system windows qui Nont pas ete patches avec MS04-11 ( LSASS ) donc je sais que la dernier update de mcafee 4377 est celui que ca prend pour contrecarrer ce virus.
deplus voici une petit manual fix a faire
1 arreter le process LMRSS.exe
aller dans le registre et faire une recherche pour ce fichier vous devreier trouver au mpoin 3 ou 4 RUN key qui l on et qui porte l acronime WINDOWS UPDATE MACHINE
HKCU\software\microsoft\window\currentversion\run
HKLM\software\microsoft\window\currentversion\runservice
HKLM\software\microsoft\window\currentversion\run
HKUser\software\microsoft\window\currentversion\run
deplus ensuite effacer le fichier qui se trouve dans c:\windows\system32\ ou c:\winnt\system32
ensuite aller sur microsoft et faite vos update pour que votre pc soit a jour assurer d avoir votre Av a jour aussi (NAI MaCfee) ont sorti le 14 un update 4376 mais il a de la misere a gerer se problem donc je vous conseil d utiliser 4377 au lieu si vous utiliser MaCfeesinon les autre av devrais etre a jour si vous avez les dernier update de ceux ci
comment lmrss.exe fonctionne en utilisant la command FPORT.exe qui nous dit quel application roule sur notre pc et quel port est associe a ceux ci
LMRSS utilise le port 113 qui est un admin privileges port et pouvre ensuite des random port entre 2400 et 3600 nous en avons repertoirie environ 200 port dans une meme session.
donc pour finir assurer d avoir vos AV a jour et vos mis a jour de microsoft
bien a vous
Jedi123
Marsh Posté le 14-07-2004 à 13:57:31
Bonjour,
voilà j'ai un problème, après une installation de xp sur un nouveau pc et une première connexion via freebox en ethernet (je suis maintenant en usb, plus simple pour firewall à mon goût) j'ai chopé plein de saloperie.
Un coup d'antivirus pour virer 85 fichiers infectés, un coup de adaware 6 à jour, un coup de spybot, un coup d'a² center, un coup de cwshredder, rien n'y fait !!
J'utilise Firefox 0.9.1 et le seul truc que trouve spybot c'est dso exploit qu'il corrige et qui revient à chaque fois.
Voici mon log à hijackthis:
Logfile of HijackThis v1.98.0
Scan saved at 13:50:20, on 14/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\lmrss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Anti-spam k9\k9.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Benjamin\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lmrss.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] lmrss.exe
O4 - Startup: K9 Anti-Spam.lnk = D:\Programme\Anti-spam k9\k9.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
Voilà help plz !! Le spyware en question consiste à lancer les pages :
http://www . angelfire . com/cantina/nubnub/error . html
http /malegalaxy . com/noin . html
http : / / anal . freegayspace.com/pwnage/porn . htm
http : / / anal . freegayspace.com/pwnage/pwn . htm
CHERCHER PAS A CLIQUER DESSUS NON PLUS
à une fréquence allant de quelques secondes à 1 ou 2 minutes, bref je ne peux plus naviguer en de bonnes conditions et pour peu que j'utilise un application, une 50aine de pages web ce sont ouvertes dans la barre des tâches quand je reviens sous windows... Merci
Message édité par thinkerr le 14-07-2004 à 14:19:29