|
|
|
 |
pidum$2004094 pidum
04/04 :: 10:39
Arrivant
| | hier, alors que j'utilise le net pour faire une partie (de pro rugby manager en passant), je commets l'énorme erreur de fermer zone alarm. Immédiatement un trojan est détecté dans un fichier secure.bat, nommé tr/shaclock.1. je le mets en quarantaine, et à ce moment la connection est encore possible! je ne m'inquiète pas trop...
cependant, une fois IE fermé, je ne peux plus le rouvrir et me connecter. Depuis, aucune solution (j'écris depuis un autre site).
Le souci est que zone alarm, s'il se lance au démarrage (je ne suis pas sur), ne tient pas; ou alors je ne peux y accéder.
Qd j'essaye de l'ouvrir, aucune fenetre de fonctionnement s'ouvre. Le pire c'est que ctrl alt suppr ne permet plus d'ouvrir le gestionnaire de fichier pour voir ce qui est en cours. L'antivirus redetecte à chaque reboot le même trojan malgré quarantaine, destruction...(AVG à jour)
En mode sans echec j'ai pu ouvrir le gestionnaire mais il n'y a rien d'anormal, avg ne détecte rien, zone alarm s'ouvre mais il semble y avoir un probleme avec true vector.
J'ai voulu réinstaller le fire wall au cas où il aurait subit des dégats, il ne le fait pas car il n'arrive pas car il semble qu'il est en cours d'utilisation! En passant je précise que j'ai débranché physiquement ma connection pour couper court à l'intrusion.
Donc : 1. il y a très peu d'info sur shaclock : qqun le connait? comment le détruire si je n'ai pas accès au gestionnaire de fichier?
2. serait ce un problème avec zone alarm? ou une incompatibilité entre l'anti virus avg et celui ci une fois éteint qui ne se rouvre plus? je suis étonné du fichier d'origine qui me semble être un truc d'update de ZA (situé dans les fichiers temp, nommé secure.bat...)
bref j'espère qu'un balaise parmi vous pourra m'aider, ça me ferait vraiment ch... de formater le DD... | |
|
stin07bis$2004001 stin07bis
04/04 :: 11:44
Arrivant
| | salut, pourriez vous faire 1 scan avec hijackthis, puis collé le log ici....@+ | |
|
Louny$2003355 Louny
04/04 :: 11:51
Arrivante
| | Quel système d'exploitation utilises tu ? Est -il à jour de ses correctifs ? | |
|
JokuHech$2003165 JokuHech
04/04 :: 12:21
Arrivant
| | Un redémarrage en mode sans échec avec prise en charge réseau.
Tu dois essayer de rejoindre un site de scan on line. Tel secuser.com ou autre. Si tu es sous XP ou ME, tu devras désactiver la restauration automatique. Une bonne option sera déjà de vider tous les dossiers TEMP de leur contenu. Rechercher aussi les dossiers ContentIE5; puis les vider aussi de leurs contenus. Pour finir vider la corbeille.
La désactivation restauration doit impérativement se faire en premier. | |
|
pidum$2004094 pidum
04/04 :: 12:58
Arrivant
| | merci pour vos réponses, le probleme est que je bosse et ne peux pas tjs vous répondre immédiatement.
Je suis sous windows 2000, avec SP4, correctifs à jour, AVG à jour, Zone alarm.
Sous 2000 je dois désactiver aussi la restauration auto? Comment SVP? (pour être sûr de noter la marche à suivre que j'effectuerai chez moi tout à l'heure).
Je n'ai pas Hijackthis, je vais essayer de faire ça aussi, j'espère pouvoir me connecter en mode sans echec...
La seule chose que je peux aussi faire c'est tenter a² qui chopera peut être le trojan là ou AVG ne le trouve plus (sauf au démarrage, étonnant, non?).
J'envisageais d'aller sur secuser mais je ne sais vraiment pas si la connection marchera en mode sans echec...croisons les doigts, et merci à tous. | |
|
papicool16$2004015 papicool16
04/04 » 13:15
Arrivant
| | Sous wind 2000 pas de restauration système, donc tu n'en tient
pas compte, juste selectionner mode sans echec avec prise en charge réseau, et tu suis le post de joku, sans oublier la remarque de louny. | |
|
enclique4$2004065 enclique4
04/04 :: 13:13
Arrivant
| | pour desactiver la resto systeme : demarrer/panneau de configuration/systeme/resto systeme/et tu coches la case...........
voila mais apres ceci telecharges hijackthis et passe ton lig sur le forum.......(scan/savelog/tu selectionne tout/tu le copies ici).........Bonne chacne | |
|
Louny$2003355 Louny
04/04 :: 13:13
Arrivante
| | Bon. Les manipulations de suppression des fichiers temporaires restent les mêmes. Cela concernera tous les dossiers TEMP en répertoire Document & Settings / local settings, de tous les utilisateurs inscrits. Vider les contenus. Ceci concerne aussi les Content IE5
Vider ensuite la corbeille. | |
|
papicool16$2004015 papicool16
04/04 :: 13:30
Arrivant
| | Provient du message de JokuHech | | Si tu es sous XP ou ME, tu devras désactiver la restauration |
Enclique4, windows 3.1, 3.11, 95, 98, 98 2ème ED, 2000, NT.
pas de restauration système, je confirme. | |
|
stin07bis$2004001 stin07bis
04/04 :: 13:34
Arrivant
| | salut, ce tr/chalock.1 n'est pas répertorié comme "trojan"....par contre sur google il existe bien en dl 1 program "chalock" (zip de 18K)..si vous connaissez l'espanol, c'est un reloj curioso....
c'est tout ce que j'ai trouvé.......@+ | |
|
enclique4$2004065 enclique4
04/04 :: 13:39
Arrivant
| | una reloj curios "a", c'est une "curieuse horloge" aucun rapport mais ca veut dire cela................................. | |
|
pidum$2004094 pidum
04/04 :: 14:27
Arrivant
| | le nom du trojan c'est tr/shaclock.1, sur google on ne trouve que ce terme dans l'update d'AVG (que j'ai!) et sur un forum allemand où des gars en parlent, mais dans leur langue, et disent apparemment un peu comme vous (en moins bien, forcément), et en plus peu compréhensible vu que je l'ai lu par la traduc automatique!
Ce qui me déprime c'est qu'à la fin ils parlent de formatage! Mais non, on ne va pas se laisser abattre sans rien faire, je vous tiens au courant dès que j'aurai essayé vos tactiques!
On va s'le faire! Banzaï!  | |
|
enclique4$2004065 enclique4
04/04 :: 14:30
Arrivant
| | bon aller bonne chance.......... | |
|
stin07bis$2004001 stin07bis
04/04 :: 14:42
Arrivant
| | salut, je viens de voir sur mon pc (j'ai aussi avg) et je ne trouve point ton tr/chalock.1...ni en exe, ni en dll....dont a viré...@+ | |
|
papicool16$2004015 papicool16
04/04 :: 15:26
Arrivant
| | Bon, du nouveau, il semblerais que ton problème de true vector
lier à zone alarme soit le responsable, c'est le true vector qui
serait infecté et responsable du problème que tu rencontre.
les symptomes sont identiques aux tiens, ctrl alt suppr, ne fonctionne plus également.
D'aprés ce que j'ai trouvé il semblerais qu'une désinstalation complete de zone alarme soit néscessaire, ainsi qu'un nettoyage
de tous tes fichiers temps, comme louny te conseil, ensuite tu réinstall zone. | |
|
pidum$2004094 pidum
04/04 :: 15:49
Arrivant
| | oui mais le souci c'est que je ne peux pas désinstaller ZA, il me dit qu'il est en cours d'utilisation ou qu'un truc manque au niveau de true vector, résultat la désinstallation ne se fait pas.
mais je vais réessayer en mode sans echec, et faire tout ce que vous me dites, on verra ensuite...
La guerre de troie aura bien lieu ça je vous le promet! Même les chevaux de troie ont leur talon d'achille. Ouais je sais elle doit pas être neuve, celle là... | |
|
papicool16$2004015 papicool16
04/04 » 16:05
Arrivant
| | Tu fait un clique droit sur l'icone zone alarme en bas de page a droite,
et tu le ferme, ensuite tu passe par ajout suppression de programme dans le panneau de configuration. | |
|
pidum$2004094 pidum
04/04 :: 17:40
Arrivant
| | ça y est je suis en mode sans echec, et je nettoie les fichiers situés dans les dossiers temp de docs and settings : certains sont d'ailleurs des dossiers qui me sont familiers, genre cookies, temp internet files, mais il y a ausii des word 8.0, des QZTEMP, ou des longues phrases de codes {911e7db-3..., la plupart vide (mêmes en affichant les fichiers cachés), mais certains contiennent des fichiers uniques (quicktime pour l'un...). Parmi les fichiers contenus dans docs and sets/local setings/temp, ceux qui sont "à nu" ont été jetés, mais deux ne le peuvent car seraient en cours d'utilisation : ~DFAF19.tmp et ~DFb329.tmp
Comment les virer?
je dois bien laisser les dossiers et juste virer les contenus, non? (car il m'indique que certains sont des dossiers systèmes et que les effacer rendrai windows instable, mais ke ne suis pas sûr).
Enfin que faut il faire avec les temp de WINNT?
J'ai peur d'effacer un composant système indispensable... | |
|
pidum$2004094 pidum
04/04 :: 17:58
Arrivant
| | ok, j'ai pu désinstaller zone alarm en mode sans echec (je suis à poil!). Il me reste à nettoyer les temp...tiens les deux fichiers ~DFAF19.tmp et ~DFb329.tmp ont disparu, mais y en a trois autres??? dat1.tmp, glb2.tmp, glc3.tmp.
moi ça commence à me faire marrer, j'ai l'air d'un fou les cheveux ébourriffés et je gueule comme un indien!
| |
|
pidum$2004094 pidum
04/04 :: 18:03
Arrivant
| | autre chose, ma fenetre internet n'arrete pas de clignoter, on dirait que le modem aussi (activity!!) : ça veut pas dire que je suis en train de me faire méga pirater? antivirguard ne peut pas s'activer en mode sans echec apparemment et ZA est désinstallé. Je suis vraiment à poil, j'aimerais bien finir vite le nettoyage. | |
