Gof

Joli !

Bonjour les trans Avec ce sujet, cela fait 3 demandes d'analyse ouvertes, et non affichées en résolués, ce mois-ci. Si tu as des difficultés à retrouver tes anciens sujets et messages, je t'invite à consulter ce mini tuto : retrouver ses messages et activer la notification par email Je ferme ce sujet doublon, et je te laisse poursuivre sur celui-ci que tu avais commencé avec Bruce Lee et auquel tu n'avais pas donné suite (clique sur le lien) : fenetre internet intempestives

Bonjour les trans Avec ce sujet, cela fait 3 demandes d'analyse ouvertes, et non affichées en résolués, ce mois-ci. Si tu as des difficultés à retrouver tes anciens sujets et messages, je t'invite à consulter ce mini tuto : retrouver ses messages et activer la notification par email Je ferme ce sujet doublon, et je te laisse poursuivre sur celui-ci que tu avais commencé avec Bruce Lee et auquel tu n'avais pas donné suite (clique sur le lien) : fenetre internet intempestives

Bonjour c4ndy Je n'aurais sans doute pas le temps de m'occuper pleinement de toi, sitot le week terminé, je serais absent toute la semaine normalement. Ton rapport Hijackthis ne révèle rien d'infectieux. Tu as cependant utilisé la version 1.99.1 qui est une version aujourd'hui obsolète de l'outil. Tu peux télécharger la dernière sur ce lien. Je ne vois ni pare-feu ni antivirus ? Tu viens de formater certes, mais ce sont là des précautions importantes, qu'en est-il ? Peux tu faire un clic droit dans le poste de travail sur ton disque dur externe ? Si oui, sélectionne Propriétés et onglet Général et regarde quel est le "type de fichiers" affiché et les informations d'espace (libre, occupé, total) et si cela correspond bien à ton disque. Puis, sur l'onglet Outils, sélectionne "Vérifier maintenant" dans la partie "Vérification des erreurs" et coche les deux options proposées. Puis laisse travailler et suis les instructions s'il y en a. S'il t'indique qu'un redémarrage est nécessaire afin d'analyser le volume, laisse ton disque branché et allumé, et redémarre.

Bonjour c4ndy Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email La demande est plus importante que l'offre ! Les "helpers" -tous bénévoles et passionnés- ne peuvent répondre instantanément à toutes les demandes d'aide, il faut parfois patienter. Consulte ce sujet : Infections par supports amovibles. Cela te permettra de facilement isoler d'éventuelles traces et restes d'infections par AdobeR et autres, et de retrouver l'ouverture de ton disque dur externe par un double-clic, de vacciner tes supports amovibles de ce type d'infection. Puis revient ensuite ici pour poursuivre.

Bonsoir peter835 Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email Consulte ce sujet : Infections par supports amovibles Et suis les recommandations. Si les soucis persistent, télécharge HijackThisV2 sur ton bureau. Double-clique sur HJTInstall.exe et suis les instructions d'installation. Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici Poste le rapport généré sur le forum. A bientôt.

Bonjour Oimfrance54 L'emplacement de la clé laisse penser que c'est un processus actif sur le système qui crée la clé. Ainsi, tu penses ne pas pouvoir la supprimer, alors que je pense qu'elle est bien supprimée mais recréée automatiquement dans la foulée part ce processus. Je pense, au vu du nom que tu évoques ("pc sync") qu'il s'agit d'un processus permettant de transfert aisé de fichiers entre différents matériels (pocket, mobile, etc). Il est probable que la présence de cette clé soit liée au processus XCSyncML.exe. En parcourant la liste des softs installés, je vois la présence de NEC Mobile Suite & NEC Synchronization . Je suppose qu'ils vont tous de paire. Voilà mon avis sur le pourquoi de la présence de cette clé, et sur le "pourquoi" de la difficulté de sa suppression. Je suppose que si tu fermes le processus XCSyncML.exe via le gestionnaire des tâches, tu devrais pouvoir supprimer cette clé sans qu'elle ne réapparaisse en actualisant. Elle devrait réapparaître dès que le processus est à nouveau lancé. D'autre part, il ne faut pas trop t'inquiéter des clés détectées comme obsolètes et/ou inutiles par les différents softs de nettoyage et d'optimisation de la base de registres. Les avis sont parfois partagés sur la réelle utilité de ces logiciels, et sur la suppression de ces clés jugées obsolètes par ceux-ci. Il faut y aller avec prudence tout de même.

Bonsoir Oimfrance54 Je ne vois pas pourquoi cette clé est détectée, puisque manifestement elle n'existe pas Je serais d'avis d'ignorer les "alertes" des nettoyeurs la concernant.

Re Ce n'est pas bien important pour les premières. Pour la dernière énoncée, Rends toi via regedit sur cette entrée : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall Et regarde si tu trouves cette entrée de "?".

Je préférerais que tu utilises JV16, disponible (dans sa version FREE) en téléchargement ici : http://telechargement.zebulon.fr/jv16.html Tutoriel d'utilisation ici : http://www.zebulon.fr/dossiers/57-5-nettoy...e-registre.html. Il y a parfois des soucis (je ne l'ai jamais rencontré personnellement) avec Regseeker.

Dans ton interface CCleaner, fais un clic-droit sur la détection de l'erreur (panneau de droite) et sélectionne "ouvrir regedit". La, dans le panneau de gauche, tu dois avoir ce "???????????????????" qui apparaît, comme avec une petite icône de répertoire. Fais un clic droit sur ce dernier, et sélectionne supprimer. Réponds oui au message de confirmation. Redémarre, si le souci persiste. Recommence la même manipulation, et regarde si cette entrée n'est pas présente également en HKLM\software par Regedit.

Re Tu peux désinstaller Antivir simplement par ton panneau de configuration>Ajout/Suppression de programmes. Un redémarrage sera nécessaire. Cette clé t'est indiquée en l'état ? -> HKCU\Software\???????????????????

Re, Antivir n'a révélé que des points de restauration infectés. C'est bien, bon travail. As-tu bien supprimé les éléments que je t'avais mentionnés dans mon message précédent ? Tu peux désinstaller Antivir à présent si tu le souhaites, mais je te conseillerais plutôt de le conserver (il est gratuit) plutôt que de conserver Norton. A toi de voir, ou encore, à toi de voir si tu veux aller au terme de ta license avant de changer d'antivirus. Peux tu m'indiquer si des soucis persistent et comment se comporte ton pc ?

Bonjour Oimfrance54 Vu la présence de setup d'installation douteux, de cracks, etc. Je te recommande d'effectuer une analyse complète du système en mode sans échec avec Antivir. Effectué en mode sans échec, Antivir n'interfèrera pas avec ton antivirus habituel. Suis ce tutoriel : Antivir de Malekal morte Poste le rapport généré. En fonction des détections, on affinera, puis on supprimera la quarantaine. Ensuite, ensemble, où tu décideras de conserver Antivir, et je t'aiderais à désinstaller l'ancien AV, ou tu décideras de désinstaller Antivir.

Bonjour TA-K-2-PT Eh bien, tiens nous au courant des résultats de ces tests alors Merci, ce sont mes deux ans de Zebulon bientôt.

Ce n'est pas grave. J'en avertirai Malekal morte. J'attends les analyses Virustotal.

Tutoriels HijackThis et petits trucs perso succincts Je poste ici un petit document synthétique de tutoriels liés à HijackThis, de liens d'analyse, etc. Tout cela est destiné à des internautes déja un peu familiers de l'outil et les méthodes. J'espère que les liens suivants vous apporteront quelques informations importantes, de la méthodologie, et peut-être susciteront quelques vocations chez d'autres. Règle de base S'il ne devait y avoir qu'une seule règle, ce serait celle-ci : Ne jamais endommager le pc d'un internaute par une de vos manipulations. Ne faites que ce dont vous êtes absolument sûrs. Ce que vous allez pouvoir lire et trouver ci-dessous ne représente pas une méthode d'éradication des malwares, mais juste quelques explications sur l'outil principal utilisé (HijackThis) et sur quelques liens utiles et "trucs" persos. Introduction à HijackThis Comme vous l'avez remarqué, nous utilisons beaucoup sur ce forum un outil que l'on appelle HijackThis. Cet outil ne fait pas tout, mais est bien pratique, et il est important de savoir comment il fonctionne et quelles sont ses fonctionnalités. Aujourd'hui les infections ont beaucoup évolué par rapport à l'époque d'élaboration de l'outil ; même si son utilisation est encore pertinente, beaucoup d'infections s'y sont habituées et savent à présent s'en prémunir. L'emploi d'outils complémentaires est de plus en plus d'actualité, viendra sans doute un jour où HijackThis sera mis à un repos bien mérité. Présentation HijackThis Liens d'auto-formation La référence, Bleeping Computer : Tuto Bleeping Computer (traduit par NickW de assiste). Zebulon : Tutorial d'interprétation des listes d'HijackThis Formation à l'analyse de rapports HijackThis HijackThis de Lomaster Malekal : Tutorial et Guide HijackThis par Malekal morte Il est important de prendre connaissance de ces liens, afin de comprendre le fonctionnement de l'outil, ses limites, ses capacités. Vous verrez, en lisant ces tutoriels, qu'il est important de connaitre un minimum le système pour pouvoir isoler les entrées infectieuses. Liens complémentaires d'analyses d'un rapport HijackThis Cette liste n'est pas exaustive, elle n'est là que pour vous donner un exemple de bases de données publiques. N° version windows (j'utilise le robot de Hijackthis.de pour m'assurer que les versions windows sont à jour) http://HijackThis.de/fr Running processes http://www.processlibrary.com/ http://www.wintotal.de/Spyware/index.php http://www.generation-nt.com/processus/ http://siri.urz.free.fr/Fix/ChangeLog.php O2 & O3 http://www.castlecops.com/CLSID.html O4 http://www.castlecops.com/StartupList.html http://www.sysinfo.org/startuplist.php http://assiste.com.free.fr/p/pacman/pacman_startup_list.html O9 http://www.castlecops.com/O9.html O10 http://www.castlecops.com/LSPs.html O16 http://www.castlecops.com/ActiveX.html O17 http://www.all-nettools.com/toolbox O18 http://www.castlecops.com/O18.html O20 http://www.castlecops.com/O20.html O21 http://www.castlecops.com/O21.html O22 http://www.castlecops.com/O22.html O23 http://www.castlecops.com/O23.html Pratique, faites en une barre d'outils Sous Firefox, je me suis également fait une barre d'analyse afin de ne pas perdre de temps. faites un clic-droit à droite de Outils ? et cochez Barre personnelle afin de l'afficher. par défaut, vous y trouverez déja quelques liens, supprimez ceux dont vous n'avez pas besoin Pour insérer un lien, vous pouvez le faire glisser en maintenant le clic-gauche de la souris enfoncée d'une page internet ou de votre marque-page jusqu'à la barre Vous pouvez également marquer la page via l'onglet Marque-pages et sélectionner Barre personnelle dans la fenêtre Créer dans puis Ok Vous pourrez modifier les noms de ces raccourcis en faisant un clic-droit puis Propriétés. Choisissez des noms courts afin de visualiser toute votre barre d'un seul coup d'oeil. Une capture de ma barre d'analyse pour vous donner une idée : Liens supplémentaires Rogues ou softs infectés possédant leur uninstall : http://www.bleepingcomputer.com/uninstall/ Clients P2P infecté (merci Tesgaz) : http://kppfree.altervista.org/spylist.html Le centre de contrôle de Ipl_001 : http://ipl001.free.fr/IT/IT-CC.html Une page de SecUser regroupant divers fix : http://www.secuser.com/telechargement/desinfection.htm Liste rogues http://www.spywarewarrior.com/rogue_anti-spyware.htm http://assiste.com.free.fr/p/craptheque/craptheque.html Recherche du nom d'un malware, de ses clés bdr et processus en fonction d'un fichier identifié ou de son nom : http://www3.ca.com/securityadvisor/pest/pest.aspx Scans de fichiers en ligne http://www.virustotal.com/fr/ http://virusscan.jotti.org/ J'attire votre attention également sur les petites fiches de Malekal morte : Guide de suppression des spywares/malwares Pour poursuivre Voila, je pense que vous y verrez un peu plus clair. Ce qu'il faut bien réaliser, c'est qu'il y a quelques années (que je n'ai pas connues) HijackThis servait à identifier et traiter les infections. Il suffisait dans la plupart des cas, de corriger une entrée registre, et ensuite de supprimer le fichier associé. Aujourd'hui cela n'est quasiment plus vrai, les infections ont évolué ; HijackThis ne vous servira qu'à identifier l'infection en début d'analyse, et à corriger enfin les entrées registres en fin d'analyse ! Exemple Cette entrée O4, une entrée registre en Run qui va donc exécuter l'exe "pointé" au démarrage du système : Une recherche sur Castlecops-O4 avec en mot-clé icq.com n'indiquera pas la malveillance de l'entrée. Une recherche avec le nom de la DLL n'aura pas de référence. Pourtant nous sommes là en présence d'un vundo nouvelle mouture, assez pénible à éradiquer. Corriger cette ligne uniquement ne vous servira à rien, et la suppression du fichier ne vous sera pas possible en l'état. Comment faire ? Comment reconnaître alors ? Première chose, comprendre un minimum le système. Savoir ce que signifie une entrée, et l'objet de son emplacement dans les lignes HijackThis. Les tutoriels pointés plus haut sont là pour ça. Deuxième chose ; lorsque l'on ne connait pas une entrée. Chercher et chercher. Fouillez d'abord les bases de données indiquées, elles sont là pour référencer les entrées génériques et connues. Enfin, en cas d'absence d'informations => google. Un bon helper sait chercher l'information qui lui manque. Regardez comment est traité un fichier, et surtout par qui. Choisissez vos références, n'allez pas singer n'importe qui. L'humilité est indispensable dans une désinfection. Personne n'est en mesure de tout connaître. La meilleure des méthodes pour apprendre est de faire ses propres analyses de son côté, tout seul sans faire prendre de risques à qui que ce soit, et de les comparer avec la procédure recommandée par un helper. Ne pas hésiter non plus à poser des questions en MP. Si vous vous décidez à intervenir dans un sujet, soyez humbles et ne faites que ce dont vous êtes sûrs. Respectez une méthodologie précise dans vos interventions : cette page d'Ipl_001 vous révèle ce vers quoi il faudrait idéalement tendre. Notez que si vous commencer à intervenir sur un sujet, vous devez vous sentir capable d'aller au terme de la désinfection. Respectez les sujets, si un helper intervient dans un sujet, c'est à lui qu'il revient de le finir, sauf s'il l'indique expressément. C'est non seulement une marque de politesse pour l'internaute, et pour le helper, mais c'est surtout une précaution par rapport à un internaute sans doute paniqué par ce qui lui arrive. Enfin, n'hésitez pas à apporter cette mention sur vos premières interventions, en début de post, en recopiant le BBcode ci-dessous (prenez soin de prendre connaissance des règles d'intervention suivant les forums ; certains ne tolèrent pas qu'un membre non qualifié réponde aux demandes d'analyse) : [color=red][b]Veuillez attendre la confirmation d'un membre [u]Nom_du_forum[/u] avant toute manipulation[/b][/color] Qui donnera (et où Nom_du_forum correspondra au forum sur lequel vous intervenez) : Il est possible qu'il soit nécessaire d'adapter le BBcode en fonction du forum sur lequel vous intervenez. Mais encore ? La désinfection d'un système ne doit pas se limiter à traiter l'infection. Vous devez rétablir le système en accompagnant l'internaute dans la désinstallation et suppression des différents outils utilisés, en l'aidant à rétablir ses paramètres d'affichage si vous les avez changés par exemple, etc. Il vous faudra également indiquer et pointer les défaillances du système ou de l'utilisateur afin que ce dernier puisse à l'avenir s'en prémunir. Remettre ou mettre des protections en place fait partie de la désinfection. Faire effectuer une mise à jour de sécurité d'un logiciel fait partie de la protection générale du système. Enfin, aiguiller l'internaute sur Malware Complaints afin de faire prendre en compte son infection et les dommages que cela lui a occasionnés. Tout au long des désinfections que vous serez amenés à prendre en charge, soyez toujours à l'affût du fichier infectieux non référencé afin de le faire parvenir aux différents analystes tels que S!Ri, MAD, Il-Mafioso, !aur3n7 ou Malekal morte. La réactivité aux fichiers nouveaux est très importante. Il vaut mieux "uploader" un fichier connu à la mauvaise personne (qui se chargera de le transmettre si le fichier est intéressant) que ne pas le faire du tout. Sur ce petit sujet que j'ai désiré volontairement succint, je vous donne quelques pistes pour mieux appréhender HijackThis et les réponses que vous seriez amenés à formuler seul de votre côté ou que vous lisez sur les sujets de désinfection. Je n'y fais, par contre, que survoler la façon de répondre, qui elle aussi devrait obéir à une méthodologie afin de ne rien oublier et de ne pas perturber l'internaute. Cela fera sans doute l'objet d'un autre billet, afin de d'avantage détailler cette dernière. Bonne chasse

Bonjour TA-K-2-PT Non, cela fait des mois que cet outil n'a pas eu de mises à jour. Tu y tiens à ton Hijack !

Bonsoir Oimfrance54 Désolé du retard, j'ai eu une fin de semaine chargée. C'est suite au rapport Diaghelp, pas de soucis avec ça. Il y a des éléments qui ne me plaisent guère Oimfrance54 et qui sont révélateurs d'un comportement à grand risque ! Je t'ai indiqué, sans ambiguïtés, que ce genre de jeux (surtout de Poker) sont souvent infectieux (en raison du succès justement des jeux de poker en ligne). Tout d'abord, un topo sur le P2P en général que je t'invite à le lire. Ensuite, pourquoi télécharger via ce support des outils que tu peux obtenir sur les liens officiels ? Tu prends le risque de télécharger des setups d'installation auxquels sont greffés des fichiers infectieux ! Là pas d'ambiguïtés. Je te demande de prendre en compte mes remarques, de désinstaller les softs de poker, de supprimer les setups téléchargés et les Keygens. Sinon, cela ne sert à rien de continuer ensemble. Aux éléments supprimés, rajoute ceux-ci : C:\WINDOWS\System32\SpoonUninstall-dBpoweramp m4a Codec.dat C:\WINDOWS\System32\SpoonUninstall-dBpoweramp m4a Codec.bmp C:\WINDOWS\System32\SpoonUninstall.exe C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Mp4 Codec.dat C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Mp4 Codec.bmp Rends toi sur ce lien : Virus Total Clique sur Parcourir Rends toi jusque sur ce fichier si tu le trouves : C:\WINDOWS\cnc.ini [/b] Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes. Renouvelle l'opération avec ce fichier : C:\WINDOWS\videoimp.ini. Peux tu me confirmer que tu possèdes The Games Factory, ou un jeu issu de ce soft ? As-tu uploadé le fichier sur la page d'Upload de malekal, comme demandé en fin de rapport ?

Bonjour tout le monde, BOBPILOU Si une notification est planifiée, que tu reçois le mail de notification, et que tu consultes la réponse sans te connecter sous ton pseudo, le post dont tu as été notifié sera considéré comme "non lu". Ainsi, l'ajout de nouveaux posts à la suite ne te sera pas notifié. Dans le mail de notification, tu as cette phrase : Par contre, si tu consultes le post dont tu as été notifié, en te connectant sous ton pseudo, le post sera considéré comme "lu", et tu seras notifié suite à l'ajout d'un post supplémentaire. C'est l'explication la plus pertinente je pense.

Bonsoir nyny34 Eh bien finalement, tout semble normal. Sans doute un "bug" quelque part lors de ton analyse précédente. Par contre -> 143599 Files not concerned Cela signifie que tu as exclu des fichiers de l'analyse. Peut etre en ne restreignant l'analyse qu'aux répertoires systèmes, ou en excluant un certain type de fichiers. Je te recommande de surveiller ta configuration Antivir, et de la corriger si besoin : il est préférable de tout analyser à titre de précaution. Pour rappel : => Tuto de configuration Antivir ici par Tesgaz A bientôt

Bonsoir nyny34 76000 warnings, en mode sans échec, cela fait beaucoup en effet. As tu réessayé une analyse en mode sans échec voir si le souci persistait ? Concernant la détection : On va regarder ça de plus près. Assure toi d'avoir l'accès aux fichiers et dossiers cachés. Rends toi sous C:\ et fais un clic-droit sur le fichier Autoexec.bat et sélectionne "Modifier". Copie-colle le contenu du bloc-notes à la suite ici, et referme le.

Bonsoir Oimfrance54 Navré, en semaine ma disponibilité est moindre. Il nous faudra jongler avec les posts L'analyse AVG AS a révélé quelques traces infectieuses dans tes points de restauration, rien d'inquiétant en l'état. Je vais te demander de générer un rapport comme ceci : Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse le, sur ton bureau par exemple. Un nouveau dossier chercher va être créé DiagHelp. Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse. A bientôt.

Bonsoir Zonk, c'est sur Zebulon que le téléchargement offre une version 0.88.3 ? Si oui, il semble en effet d'après les éléments que tu donnes que la version est obsolète. Tu devrais alerter Yann, l'administrateur, via peut-être les commentaires de la page de téléchargement ici. En même temps, je pense qu'il doit être difficile de coller à l'actualité de l'outil, et que contrairement aux fix le module de détection de la date des définitions est justement là pour alerter l'utilisateur de procéder à une mise à jour. C'est peut-être la raison qui ferait que cela n'est pas plus inquiétant que la version proposée ne soit pas la dernière, puisque celle-ci demandera une mise à jour de toute façon. Tu peux toujours le lui rapporter

Re, Je pense que cela ne résoudra pas le souci de Lionel57 ; si j'ai bien compris, il ne peut pas lire, ni écrire sur le DD c:\ puisque ce dernier n'est pas vu, à part dans le BIOS. Je crois véritablement à une corruption du MBR (Master Boot Record), du secteur de boot de la partition ou de la table d'allocation des fichiers. J'ai une tour en dépannage avec exactement les mêmes symptômes, je n'ai pas réussi à m'en dépatouiller encore.