MyT

Bonjour, Désolé, le sujet concernait : Infection : VIRUS ALERT ! J'aurais sans doute du poste le message pour une personne qui avait besoin. En relisant les messages (en effet le sujet n'a pas sa place ici). Encore désolé : Falkra Cordialement MyT

Contribution pour la communauté : Infection système (Désolé je ne sais pas où poster ce message si ce n'est à la suite de celui-ci) Bonjour à tous, Le sujet concerne l'éradication (suppression) des Trojans, Malwares, Worms, virus, Backdoors et surtout répondre au sujet ci-dessus. Quels sont les alertes ou informations qui m'ont interpellée ? Les indices et les noms des infections que j'ai rencontrées sur mon système Windows XP Pro SP2 : - Virus Alert ! - http://asiuoqgusdbaksd.com/go.php? (Site de redirection) - Message d'alerte : infection d'un Spyware "Worm.Win32.NetBooster" - file:///C:\Windows\privacy_danger\index.htm - adresse IE (Internet Explorer) par défaut http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2 - Zlob.Downloader.vcd (Trojans) - Dreamgroup.Fakemule (Hijackers) - MessengerSkinner.rtk (Trojans) - NNC.MGRS (Trojans) - Zlob.Downloader.rid (Trojans) - Trojan.FakeAlert (Trojans) - Adware.NaviPromo - Agent.BQ - NaviPromo - SearchSquire - BrilliantDigital - tdssserv; tdssserv.sys; tdssservers.dat; tdssmain.dll; tdsslog.dll; tdssl.dll; tdssinit.dll; tdssadw.dll - TR/Agent.AJLX - BDS/Agent.oty - TR/Spy.Gen - Impossible d'utiliser le défragmenteur ainsi que chkdsk " Le défragmenteur ......................" - RAW / busy / accès impossible - asr_pfu.exe - Impossible d'ouvrir le gestionnaire des tâches "Le Gestionnaire des tâches a été désactivé par votre administrateur" Comment faire pour les éradiquer ? Nous le verrons un peu plus tard, "Désactiver" la restauration du système est la première étape à faire. Pourquoi ? Parce que la restauration du système contiendra les virus que vous auriez continuellement effacés en allant dans les dossiers de votre système. Comment faire pour désactiver la restauration du système ? (débutant) Clic droit sur l'icône du poste de travail, Sélectionner "Propriété", Sélectionner l'Onglet " Restauration du système", Décocher la case "Désactiver la Restauration du système sur tous les lecteurs", valider par les boutons "OK". Ensuite, supprimer tout les fichiers temporaires de la navigation en utilisant l'utilitaire Windows " Nettoyage de disque" ou "CCleaner" par exemple. CCleaner téléchargement http://www.ccleaner.com Aide à l'utilisation http://www.commentcamarche.net/faq/sujet-3...ls-de-logiciels Comment procéder ? (débutant) Utiliser l'utilitaire Windows "Nettoyage de disque". Bouton "Démarrer"; Programmes; Accessoires; Outils système; Nettoyage de disque. Sélectionner toutes les cases (Note : Au cas où vous n’auriez pas votre CD-ROM Office sous la main laissez décocher la case : "Fichiers d'installation Office". Car à l’utilisation il se peut qu’Office vous le demande. Et enfin, affichez les fichiers cachés ainsi que ceux du système. Quels sont les logiciels qui vont m'aider à éradiquer ces infections ? Plusieurs logiciels vont être nécessaires pour nous permettre de nettoyer les infections. Et la tâche n'a pas été simple pour ma part (3 jours de recherche, lecture de documents, et surtout comprendre ce qui m'arrive et comment y apporter une solution ( ). Récupérer les logiciels suivants sur les sites officiels et surtout faites en sorte qu'ils soient à jour : Note : Veuillez à n'utiliser qu'un seul antivirus car il risque d'y avoir des conflits voir un arrêt du système. "Un antivirus à jour vaut mieux qu'un bug pour toujours" Déconnectez-vous d'internet. "Ba heu comment je fais : Comme ! France Gall > Débranche tout. Les logiciels : Antivir http://www.free-av.com/ Trojan Remover http://www.simplysup.com/ Spybot - Search & Destroy http://www.safer-networking.org/fr/index.html RootKitRevealer http://technet.microsoft.com/en-us/sysinternals/default.aspx HijackThis http://www.merijn.org/programs.php#hijackthis Ad-Aware http://lavasoft.com/products/ad_aware_free.php Nous avons tous nos ingrédients, procédons à la désinfection. 1⅛ cuillère à café de sucre; 1⅜ cuillère à soupe d'huile; 1⅓ cuillère à soupe de levure.... heu.... Oups. Désolé. Comment procéder à l'éradication ? Note : L'installation de l'Antivirus peut ne pas avoir fonctionné correctement suite aux infections du système. Ce n'est pas grave pour l'instant continuez avec les étapes ci-dessous. Je vous conseil de sauvegarder les fichiers journaux créés par les logiciels sur votre bureau. Ainsi vous pourrez vérifiez les éléments qui ont bien été supprimés en vous rendant aux endroits indiqués par les fichiers journaux. Car d'une recherche antivirale à un redémarrage système ou un accès au mode sans échec, les logiciels trouvent de nouvelles infections. Logiciels concernés: Antivir, Trojan Remover, HijackThis, RootKitRevealer. 1/ Lancer "HijackThis". Aide à l'utilisation : http://www.zebulon.fr/dossiers/43-hijackthis.html 2/ Lancer "Spybot". Aide à la configuration et à l'utilisation : Configuration http://www.zebulon.fr/dossiers/42-spybot.html Utilisation http://www.pcentraide.com/index.php?showtopic=229 3/ Redémarrer votre poste. 4/ Votre système ouvert, vérifiez en bas à droite de votre écran (à côté de l'horloge), l'ouverture du parapluie icône rouge et blanc "Antivirus actif". Si ce n'est pas le cas procédez à la désinstallation puis à la réinstallation du logiciel. Aide à la désinstallation http://www.commentcamarche.net/faq/sujet-7...iens-et-astuces 5/ Lancer l'Antivirus puis paramétrez le comme indiqué dans le guide ci-dessous* : *http://speedweb1.free.fr/frames2.php?page=tuto5 6/ Lancer Antivir (2clic sur l’icône à côté de l’heure) et à l'affichage d’une infection cochez " Delete". 7/ Lancer à nouveau Antivir et Spybot mais cette fois-ci en mode sans échec. Aide mode sans échec http://www.pixelle.org/astuces/acceder-plu...-windows-xp.php 8/ Sortez du mode sans échec, (démarrez votre poste normalement) lancer "Trojan Remover". (Pour informations vous pouvez lancer "RootKitRevealer". Dans le menu description identifiez les lignes " Hidden from Windows API " certaines indiquent l'endroit ou se trouve l'infection). Petit apercu: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata 09/08/2008 01:13 0 bytes Hidden from Windows API. HKLM\SOFTWARE\tdss 09/08/2008 10:15 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\tdssserv.sys 09/08/2008 01:13 0 bytes Hidden from Windows API. 9/ Lancer à nouveau Antivir, Spybot, Trojan Remover et Ad-Aware. Ouvrez les fichiers journaux d'Antivir, Trojan Remover et procédez à la recherche des dossiers, des fichiers et des clefs registres infectés. Comment afficher les fichiers cachés : (débutant) Bouton "Démarrer", Paramètres, Panneau de Configuration, Apparence & Thèmes, Options des Dossiers, Onglet Affichage. - Cocher « Afficher les fichiers et dossiers cachés ». - Décocher « Masquer les extensions des fichiers dont le type est connu ». - Décocher « Masquer les fichiers protégés du Système d’exploitation ». Note : Pensez à cochez ces paramètres quand vous aurez fini la désinfection. Le nettoyage n'est pas tout à fait fini. 10/ Nettoyer les caches de vos navigateurs (les, car je possède deux navigateur) et vérifiez les dernières pages qui ont été mises dernièrement dans les favoris (page web xXXx par exemple : hasard). Pensez à enlever la page d'accueils non désiré à partir des "Options Internet" de votre navigateur. Comment procéder : (débutant) Ouvrez votre navigateur, cliquez sur le bouton "Outils" sélectionné "Options Internet" puis l’onglet "Général". Cliquer sur le bouton "Page vierge", vous pouvez ajouter une nouvelle adresse comme page d’accueil en cliquant dans la case. Enfin, si vous croyez que tout est bel et bien fini testez votre accès à Internet. Profitez pour faires les mises à jour des logiciels. Puis relancer une dernière fois les logiciels à la recherche d'infection en mode normale ainsi qu'en mode sans échec. En ce qui concerne l'infection ? L'infection viendrait du driver suivant télécharger sur le site d’Intel : English: MODEM.zip Download Ver: 7.17.00 Date: 6/5/2006 Size: 1406 (KB) Time @56Kbps: 3.25 min OS: Windows* XP Home Edition, Windows* XP Media Center Edition, Windows* XP Professional Télécharger sur le Site Intel à l'adresse suivante : http://downloadcenter.intel.com/Detail_Des...al&lang=eng Ou ici: 7. Modem Driver (1406KB) 7.17.00 6/5/2006 Download Data Fax Modem with SmartCP (install after audio driver) OS:Windows* XP Home Edition, Windows* XP Media Center Edition, Windows* XP Professional http://downloadcenter.intel.com/filter_res...mp;submit=Go%21 Pendant l’infection j’ai testé les logiciels suivant : AVG : Ne fonctionne pas F-secure : Message indiquant : évaluation fini. McAfee : Affiche des clefs cachés / rien à voir avec la backdoor Panda : Fichier endommagé Gdata : A trouvé un fichier dans le dossier zplayer / rien à voir avec la backdoor Sophos : Ne fonctionne pas Spyware Doctor : N’a rien trouvé (en durcissant les paramètres, il a indiqué trois chemins : system32; temp et drivers. Aucune trace sur la backdoor : version d’évaluation. StopZilla : Il a Indiqué les chemins des infections, mais il n’était pas possible les supprimer. Aucune trace sur la backdoor : version d’évaluation. Trojan remover : Est sans conteste le meilleur. Il a trouvé en quelques secondes les fichiers qui ont été signalé par Antivir : version d’évaluation 30 jours. MalwareBytes’ : Il a trouvé quelques infections, j’ai bien aimé comme logiciel. Aucune trace sur la backdoor : Version limité, pour avoir toutes les options voir sur le site. GenProc : Rien trouvé Smitfraudfix : Rien trouvé, même en le renommant. Kaspersky Anti-Virus 2009 LiveCD : Il a trouvé « Smitfraudfix » à part ça rien d’autre. RegDelNull : Il aurait du supprimer d’après ce que j’ai lu les entrées « Hidden » et enfin de compte il n’a rien fait. J’espère que vous avez pu comme moi suite à la lecture de cette modeste contribution solutionner votre problème. Bonne continuation à tous MyT Ps : Zebulon, merci pour m'avoir apporté la connaissance. Qui triomphe de lui-même possède la force. [Lao-Tseu]

Bonjour à tous et toutes ! Et bien je viens de lire les 6 pages de ce forum, et y'en à pour tout les Gouts.M'enfin presque. Et bien voici ma petite histoire : J'étais chez wanadoocable : 2001 à fin mars 2005.Pour un tarif de :34€50.512Mégas.Et tout fonctinnait à merveille. Et le hasard, fit que m'a charmante voisine ( salut voisine ) demanda un abonnement cable. Un soir en allant chez elle, nous avons discuté de son forfait. Et là horeur ! Son tarif était de : 19.90€.Gloups pour 1Mégas reGloups. Vite une adresse, un numéro de téléhone.Je contacte wanadoo cable ( car à ce moment là mon fournisseur était toujours wanadoo et oui il me fallait des explications) par téléphone. Réponse de leur part : " vous devez faire la démarche vous même pour passer chez modulonet ". Réponse moi : ( " mais je ne veux pas aller sur modulonet je suis chez wanadoo, pour moi c'est un concurrent." Biensur il ne parlait pas du rachat et des sous que wanadoo doit à certains fournisseurs et autres sites. ( Je rajouterais aussi que modulonet est arrivé en janvier 2005 ( pour remplacer wanadoocable), et qu'il n'ont pas fait pour m'a part un courrier ou un transfert automatique de forfait ( ce qui aurais été logique ) ainsi que de tarification. .Je continuais donc à payer 34.50€ au lieu des 19.90€ à compté de janvier 2005 date à laquelle modulonet était actif. Et d'"après ce qu'il m'on répondu : " vous passerez bientôt chez modulonet celon les régions. Mais biensur si c'est à la fin de l'année, C'est qui la bonne vache laitière, et vas y que je t' ....................( M'enfin alors ). Après avoir visiter le site modulonet et vue l'adresse pour changer de fournisseur en donnant mon adresse MAC, tout ceci ne m'inspirait pas confiance<. J'ai donc décidé d'aller faire un tour au bureau ( non pas du directeur), FTC wanadoocable, numéricable, modulonet ( que de monde gloups). Je raconte mon soucie et mon mécontentement à la demoiselle puis au missieur : " Voici un cd de connection. " " Bien madame, au revoir madame. " ( et oui que pouvais je faire de plus, de 34.50€ je passais à 19.90€).Je met mon cd dans mon pc favoris : WIn Xp pro SP2, et horreur ! ( Pas de connection, serveur introuvable. Ca commence bien. ( Donc hotline ( ding ding c'est le bruit des pièces des machines à sous, sans gagner le Jackpot ( beu ! ). Et rien n'y fait.Je cherche de mon côté, et m'aperçois que mon service : " Client DHCP " est désactivé normale puisque j'ai fait un paramétrage pour sécuriser mon pc. Mais le plus rigolo est : impossible de lancer ce service : " erreur 1068 " ainsi que les dépendances.Si quelqu'un à une solution je le bénie. J'utillise donc mon vieux Win98 Se, impossible de connecter deux pc comme avant sur le modem Thomsom TCM390 ( quel régale toutes ces partie en réseau, gloups mais je suis chez modulonet maintenant, A vis c vrai quel horeur ! (). Réponse de modulonet : ( " Veuillez acheter un routeur, chez wanadoo y'avait un BUg donc vous pouviez faire ce procédé ". Et bien fait en un chez vous aussi.Ba oui Quoi ! Et pis chez wanadoo le PPOE fonctionnait nickel et pis et pis on pouvais jouer à deux sur un modem ( éconie d'énergie voyons), et pis et pis et pis je n'avais pas besoin de mettre un cdrom d'installation. ( D'ailleurs si quelqu'un pouvait m'expliquer une astuce pour configurer la connection DHCP modulonet sans cd, merci. ). Voici donc une bonne partie de grosse galère, partagé entre : ( " Téléphone (hotline, gling), bureau (centre ville vroum vroum gling), recherche (note d"élect gling, prise de tête gling), et je rajoute et continue sur ma lancé Des déconnections intempestives; Deux à trois fois par jours si ce n'est plus. Bon me direz vous je suis sur WIn98SE." Mais il est patché ( avec de la patte à chewgum, j'entend dire : passe à linux).Et pis j'ai un parefeu aussi, histoire de me proteger un peu. Oueche.erreur 1068. Impossible de démarrer le service Client DHCP sur ordinateur local.Erreur 1068 : le service ou groupe de dépendance n'a pas pu démarrer/ ( message D' XP. Que je suis malheureux. ( Prend un Malabar . Et enfin pour couronner le tout, j'ai installé mon Frag favoris sur win98 ( TacticalOps, un little pub) Et voilà le mégas ping impossible de jouer. ) Ceci pour couronner le tout. ( Jvas aller faire une partie de boule, et pêcher à la ligne. Et maintenant, vous n'êtes plus chez modulonet bande de veinard, mais chez : " Numéricable ". Et oui, allez voir le site et vous aurez un Zolie lien, numéricable. Ce que je constate." Et bien wanadoo cable me manque, modulonet/numéricable Grosse D..B. En quattre lettres chère Jean Pierre et vous n'avez plus de joker, ni coup de téléphon et ni le 50/50. Alors pro me_ nons Nous dans les bois.Et numéricable ne te connectera pas Test connection zebulon : 241.14 Kbits/s c'est du 1mégas attention numéricable. Je n'aurais jamais pensé que l'enfer pût être une chose aussi simple qu'une connection chez Numéricable. Cordialement à tous et toutes. MyT