presence serveur Open proxy sur votre PCRésolu/Fermé

Question

Bonjour,
J'ai reçu ce message de club-internet, ça dit quelque chose à quelqu'un ? Merci
Cher(e) abonné(e),

Suite a differentes plaintes qui nous ont ete adressees, nous avons identifie la presence d''un serveur Open proxy sur votre machine

Un proxy est une passerelle logicielle qui isole un réseau local en adressant en son nom les requêtes lancées par les postes du réseau global

Quand un proxy est en mode "Open", cela signifie que tout internaute connecte peut utiliser votre machine comme passerelle afin de lancer des attaques vers d''autres machines du reseau global

Ce logiciel opere sur votre machine a votre insu, il est tres difficile de le detecter En effet, aucun anti-virus ne peut l''identifier ni l''eliminer

Nous vous demandons de prendre toutes les mesures necessaires afin d''eliminer cet Open Proxy de votre machine
Pour toute aide, nous vous invitons a contacter le support de votre systeme d''exploitation, afin qu''il vous conseille sur la meilleure maniere de resoudre le probleme

Ce probleme resulte très souvent d''une infection virale sur votre ordinateur, nous vous recommandons de tester l''integrite de votre ordinateur par le biais d''un antivirus en ligne, tel que celui disponible sur http://securite.club-internet.fr

Rumbacampus · Accepted Answer

Re

1) Tu as donc effectué tout ce qui est préconisé sur le forum (A2Free, SpybotSD, Ad-Aware, Anti-virus personnel…), en mode sans échec ?

2) Tu as aussi scanné en ligne (plusieurs), nettoyé ton disque (avec CleanUp, c’est bien) ?
Si non, fais-le. Passe aussi un p’tit coup, en mode sans échec, du “virus cleaner“ d’ Avast (des vers, en fait) téléchargé là :
http://www.avast.com/eng/avast_cleaner.html

3) Après, passe encore un petit coup de “Cwshredder“, obtenu là :
http://www.spywareinfo.com/~merijn/cwschronicles.html

4) Et, pour terminer, télécharge “Stinger“ là :
http://vil.nai.com/vil/stinger
Tu lance cet utilitaire en mode sans échec.

5) Je pense que ça ne “guérira“ pas complètement ta machine, mais il faut le faire.

6) Pour te protéger (une fois que ta machine sera nettoyée, dans le futur) tu devrais, en plus des outils précités, télécharger et installer, BHO Demon 2.0, et SpywareBlaster :
http://www.definitivesolutions.com
http://www.javacoolsoftware.info/kb
et activer les protections résidentes de Sybot SD.

7) Je suppose que tu n’as pas de pare-feu. C’est sans doute l’une des raisons de ton problème.
Si cela n’est pas déjà fait, télécharge Kerio Personal FireWall 4:
http://www.kerio.com/kpf_home.html
récupère les conseils donnés là :
http://perso.wanadoo.fr/websecurite/kerioPF.htm
Arrete Internet, désactive le pare-feu de Windows s’il est “branché“, installe Kerio et configure-le.
(En fait, c’est la première chose à faire)
Il existe d’autres “bons“ pare-feu (vois sur ce forum), mais il faut bien les utiliser.
Si tu en choisis un autre, cherche sur google un mode opératoire.

8) Ensuite télécharge et configure “ZebProtect“. Va voir là :
http://www.zebulon.fr/articles/zebprotect.php

8) Pour compléter ces protections, moi j’installerais “Spyblocker“ (mais c’est payant). Si tu veux un “ersatz“ gratuit (c’est pas exactement ça, mais je fais simple), essaie “SandBoxie“ ici :
http://babin.nelly.free.fr/sandboxie.htm
Ces logiciels sécuriseront au maximum IE contre les malwares de toute sorte…
Certains te diront de choisir Firefox comme navigateur par défaut.
Dès lors que la machine est bien protégée, que Windows, ses applications, et IE sont à jour, bien parametrés et qu’on réagit intelligement devant une situation imprévue, cela n’est surement pas indispensable (mais bon, faut bien être à la mode !…)

9) Pour détecter les failles résiduelles de vulnérabilité de ta machine, va là :
http://www.gfi.com/languard
Télécharge le logiciel “Languard Network Scanner 2.0 “
Installe-le et lance-le en déroulant le menu Démarrer/Programmes/Languard Network Scanner/Languard Network Scanner . Saisis, dans le champ Target , ton adresse IP ou 127.0.0.1 , puis valide en appuyant sur la touche “Entrée“ .
(Si tu ignore le numéro IP de ton ordinateur, tu peux utiliser le programme “Winipcfg“ qui se trouve dans le dossier de Windows).
Ensuite, enfonce, à nouveau, la touche “Entrée“ pour lancer les tests. Pour mieux comprendre et analyser les résultats, télécharge le manuel sur le même site (en anglais).
Si ceci te paraît trop compliqué, tu peux aller sur ce site pour trouver d’autres outils et des conseils :
http://assiste.free.fr/p/vulnerabilite_en_ligne/vulnerabilites_en_ligne.php

10) S’il reste des vulnérabilités, il faudra les éliminer.
Selon leur nature Tu pourras trouver les modes opératoires sur ce site :
http://assiste.free.fr
et une liste d’outils complète là :
http://gerard.melone.free.fr/IT/IT-HJT2.html#HJT4

11) Une fois ces opérations effectuées, il suffira (c’est une façon de parler) de supprimer les résidus qui apparaissent encore dans hijackthis, plus ce qui n’apparaît pas mais qui est lié à ces résidus (dossiers, fichiers, registre).
Attention, le programme hijackthis doit être lancé dans son propre dossier pour qu’il puisse établir des sauvegardes (Par ex C:\Hijackthis\hijackthis.exe)

12) Pour apprécier les lignes du log, tu peux aller là :
http://www.hijackthis.de/index.php
(Attention, c’est une machine qui compare des mots clefs avec une base de donnée toujours incomplète, il faut donc être prudent pour tout ce qui n’est pas évident..)

13) Tu trouveras là des clefs pour interpréter les lignes :
http://www.zebulon.fr/articles/HijackThis.php

14) et là des explications sur la nature et le risque des process et des fichiers executables qui te paraissent douteux :
http://assiste.free.fr/tree/assiste.com.html

15) L’objectif c’est de régler les problèmes tout en acquérant de l’autonomie, tu peux aller là pour en savoir un peu plus sur l’analyse d’un rapport hijackthis et sur les procédures à appliquer pour “fixer“ les problèmes de façon efficace :
http://forum.pcastuces.com/sujet.asp?SUJET_ID=158663#945292

Voilà, j’espère que tu n’es pas découragé, à priori. De toute façon, tu n’as pas le choix. Profite donc de ce pépin (pas vraiment grave, il faut relativiser) pour apprendre un peu.
Même si tu n’arrive pas à résoudre parfaitement le problème, les éléments que tu auras récolté t’empêcheront de retomber encore et encore….(comme le fait l’internaute ignare !)
Essaie de tout faire. (Il faut comprendre ce qu’on fait, évidemment)
Si tu échoue, tu auras toujours la possibilité de réinstaller un Windows bien protégé.

Bonne chasse et @+

Rumbacampus · Answer

Bonjour

va voir sur google les infos. Il y a tout ce qu'il faut pour vérifier si tu a un open proxy et corriger le problème, si besoin est...
Si tu trouve que c'est trop compliqué (ça l'est), applique les conseils basiques indiqués sur ce forum (purplestorm, balltrap & Co) et lance tous les outils de désinfection en mode sans échec, lance aussi un scan de ton antivirus.
Lance aussi un scan en ligne.
Supprime tout ce que tu trouveras. Avec un peu de chance, ça marchera.
Ensuite, si tu n'as pas de pare-feu, télécharges-en un et actives-le.
Si le problème n'est pas résolu, pose la question au service technique de ton FAI (Il dispose peut-être d'outils spécifiques)
Et si tout n'est pas résolu quand tu auras fait tout ça, (et seulement dans ce cas) Effectue un log hijackthis, (à tout hasard)
et copies-le ici.

@+

gillou le pou · Answer

Re,Toujours pareil et ce malgré les recommandations précieuses. J'ai donc fait un HjackThis? merci encore de m'aider :Logfile of HijackThis v1.99.1Scan saved at 20:43:27, on 06/04/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\windows\system\hpsysdrv.exeC:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeC:\WINDOWS\System32\hphmon05.exeC:\HP\KBD\KBD.EXEC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\Program Files\Multimedia Card Reader\shwicon2k.exeC:\WINDOWS\ALCXMNTR.EXEC:\WINDOWS\system32\usbn.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exeC:\Documents and Settings\Propriétaire\Local Settings\Temp\Répertoire temporaire 6 pour hijackthis_199.zip\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exeO4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exeO4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exeO4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXEO4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /rO4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXEO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetectO4 - HKLM\..\Run: [NAV CfgWiz] c:\PROGRA~1\NORTON~1\Cfgwiz.exe /RO4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exeO4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXEO4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exeO4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c59 -w3O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHookO4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exeO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dllO16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cabO16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CABO16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{159724F8-B085-4E72-BBA1-6A90F3F3BF7B}: NameServer = 194.117.200.10 194.117.200.15O17 - HKLM\System\CS1\Services\Tcpip\..\{159724F8-B085-4E72-BBA1-6A90F3F3BF7B}: NameServer = 194.117.200.10 194.117.200.15O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dllO21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

mazzy · Answer

J'ai le même problème que toi. Est-ce que tu l'as résolu depuis ?

aragorn3824 · Answer

salut pour resoudre ton probleme telecharge unlock et fais une analise en mode sans echec pour debloquer tu fais un clic droit tu y veras unlock et le reste est simple a faire

sehline · Answer

merci de me donner le  serveur proxy

loulou · Answer

Le proxy dont on parle est installé sur le PC des gens. 
On appelle ca un open-proxy mais en réalité on devrait l'appeler un open-relay

Vainsyl03 · Answer

Bonjour à tous, nous avons exactement le même soucis ; un message de Club-internet à propos d'un serveur open proxy sur notre PC. Est-il possible qu'il soit à l'origine des dizaines de spams que nous recevons chaque jours ?
Toutes les procédures que vous avez l'amabilité de nous indiquer sont particulièrements compliquées pour nous, merci quand même, nous allons tenter de nous débarrasser de cette saleté.

Calva14 · Answer

Bonjour à Tous :

ce message est à tous , mais surtout à  ""gillou le pou""

je 'ai eu le meme message de club, et le meme soucie, beaucoup de spams , mais vraiment beaucoup!!!!

Dis moi STP comment je peux faire formatage parciel pour mon disc dur?

ou meme, comment me debarrasser de ce virus?


Merci et bon week end

mon email : calva14@hotmail.com

Presence serveur Open proxy sur votre PC

9 réponses

Newsletters