Gof

Bonjour Bailing Je ne t'oublie pas, mais je me renseigne sur un petit point qui me chiffonne Je te tiens au jus

Bonsoir Zwei Le rapport ne révèle rien d'inquiétant, je vois que tu n'as pas passé AVG AS ?

Bonsoir Bailing Bien, bon travail. Tu as bien fait d'opter pour Antivir, sa rechercher et son module résident Heuristique est très performant, parfois trop presque... On va faire un point sur ses détections : Les fichiers infectieux traités : C:\Program Files\Internet Explorer\Connection Wizard\winswf.com C:\WINNT\system32162432ld.exe C:\WINNT\system32399162ld.exe Un faux positif sur un outil que l'on a utilisé : C:\Program Files\Navilog1\gnc.exe C:\Program Files\Navilog1\navilog1.bat C:\Program Files\Navilog1\reboot.exe Des outils qui peuvent être dangereux (leur absence n'occasionnera pas de disfonctionnements) suivant quelle est l'application qui les traite : C:\WINNT\NirCmd.exe C:\WINNT\system32\fx.exe C:\WINNT\system32\nz.exe.dat Tu peux supprimer la quarantaine d'Antivir. Je pense qu'on voit le bout à présent. Comment se comporte le pc ? Génère à nouveau un Diaghelp je te prie

Bonsoir lina Oui, très certainement. Tout ce qui se branche par support USB notamment est susceptible d'être infecté (au même titre que les appareils photos, les cartes flash, etc). Tu as eu le bon réflexe en attendant Apollo.01 que de repasser Flash Disinfector, ton lecteur MP3 branché et allumé. Redémarre ton pc, cela a peut etre changé la donne, et reposte un nouveau log Hijackthis que Apollo.01 puisse voir ça quand il repassera Bon courage

Bonsoir Bailing Si tu n'arrives pas à le désinstaller et réinstaller correctement tout de suite, ce n'est pas bien grave. Du moment qu'il est configuré comme indiqué, et qu'il fonctionne en mode sans échec, la recherche heuristique, très efficace (parfois trop) détectera sans doute les restes. Tu as sans doute trop trainé pour effectuer les mises à jour, et tu as dépassé la limite de validité je pense. En fait, Antivir est gratuit, et la date limite d'expiration recule de mise à jour en mise à jour. Du coup si tu ne les effectue pas, au bout d'un certain temps, il n'est plus valide, et tu ne peux plus faire de mises à jour. Il te faut donc alors désinstaller, et réinstaller. On verra ça par la suite. Tiens moi au courant

Bonsoir SBEITLA Content que tu ais résolu le souci. Je ne te suggérerais pas de rapporter ton infection sur le forum Malware complaints, car je ne crois pas qu'il s'agissait de véritables infections. Mais par habitude, c'est ce que l'on demande ensuite Il s'agit d'un forum sur lequel est centralisé les infections traitées par les forums. Je t'invite aussi à consulter cette page où tu trouveras une concentration de divers liens d'articles de prévention, de téléchargements d'utilitaires et de tutoriels associés. Si tu as des questions, pose les, sinon je t'invite à basculer ton sujet en "résolu" comme ceci : clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". A bientôt, bon surf

Re Tu ne l'as pas installé correctement ? Comment ça ? Il ne se lance pas ? Et tu ne peux le désinstaller ? Quel est le message d'erreur rencontré ?

Pardon. Non non, ok, conserve ton pare-feu. Pardonne moi de la confusion. Relance un scan HijackThis Clique sur Do a system scan only et coche les lignes ci-dessous : O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') Ferme toutes les fenêtres sauf HijackThis et Fix Checked. Puis, rends toi sur ce fichier et supprime le : C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe Vide ta corbeille. Tu as antivir de présent sur ce pc. Je vais te demander de le mettre à jour et d'effectuer une analyse en mode sans échec. Je n'entre pas dans les détails, tu sais comment redémarrer en sans échec. Assure toi qu'il soit configuré comme indiqué sur ce lien. La version a un peu évolué suite au tuto, mais l'essentiel est présent. Poste le rapport à l'issue.

Bonsoir Bailing Ok très bien, je n'étais pas certain que AVG AS les ai traités. Tu n'as pas complétement bien suivi la manipulation alors, c'est seulement après la mise en quarantaine que tu aurais du générer le rapport Je serais partisant que tu optes pour un autre pare-feu que celui de windows, afin de pallier aux exceptions du pare-feu inscrites encore pour l'instant dans ta base de registre. Cela permettrait d'éviter la réinfection au cas où. Zone Alarm n'est pas le plus performant (pour les puristes), mais il me semble l'un des plus accessibles. Tu as d'autres choix sinon en gratuit. Voila quelques liens pour des pare-feux gratuits (la liste n'est pas exhaustive) : Zone Alarm (2 versions ) Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za La version pro est payante après une période d'essai. Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1 Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php Kerio (2 versions également) Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html Jetico Lien de téléchargement éditeur : http://www.jetico.com/ Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489 Outpost firewall free Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php Tuto de Odsen (lien site) : http://securite-facile.ovh.org/jetico.php La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, désactive le pare-feu windows et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos. Il faut que l'on corrige les exceptions dans le pare-feu qui n'ont pas été corrigées dans le dernier script. Reposte un log Hijackthis également que l'on fasse un tour d'horizon, mais seulement après avoir installé un autre pare-feu (comme ça je m'assure qu'il n'y a pas eu de soucis pour l'installation). Tu m'as dit avoir récupéré ta connexion, constates-tu visuellement des soucis ?

Bonsoir SBEITLA Comme je te l'avais déja dit, ces détections ne sont pas un souci en l'état, elles sont dans ta restauration système. Tant que tu ne restaures pas, tu ne peux pas te réinfecter. Je te demandais si tout allait bien, afin de supprimer ces points de restauration infectés, et t'en faire créer un nouveau, propre. Non tu ne perdras pas cette possibilité. Mais les points de restauration infectés seront eux complétement supprimés. Ne restera que le dernier en date que je compte te faire créer en effaçant les autres. Si donc, tout va bien, effectue la manipulation suivante : Pour une aide visuelle, tu peux consulter ce lien de Bruce lee. Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Si tu constates d'autres soucis dont tu ne m'aurais pas fait part, par prudence conserve tes points de restaurations (même s'ils sont infectés) et explique moi quels sont-ils. A bientôt.

Bon anniversaire aux natifs du jour ! Et plus particulièrement à VertigO, sebdraluorg et WatchDog que j'ai eu l'occasion de croiser

Bonjour Bailing As tu bien suivi mes recommandations ? En l'état, je ne sais pas si tu as généré le rapport AVG AS avant de sélectionner Appliquer toutes les actions, ou si tu as bien généré le rapport après mais AVG AS ne les a pas traités. Peux tu me dire ce qu'il en est ? Double-clique Winseeker.exe pour l'exécuter. Clique sur l'onglet Fichiers - Recherche Dans la fenêtre de saisie Fichier/dossier, copie-colle les éléments suivants : m4x* Laisse la fenêtre de saisie Date vide Dans Répertoire à scanner, copie-colle : %Windir% Assure toi que les cases Inscrire le chemin,Inscrire les attributs, Inscrire la date de création et scanner le répertoire de manière récursive soient cochées Clique sur l'onglet GO ! Clique sur le bouton GO ! L'outil va travailler et générer un rapport, copie-colle le à la suite. Cherche et supprime les fichiers suivants : C:\11.tmp <-ce fichier C:\14.tmp <- ce fichier C:\Program Files\Internet Explorer\Connection Wizard\Swfwin32.dll <- ce fichier Vide ta corbeille. Bonne journée

Bonjour SBEITLA L'analyse en ligne a révélé la présence d'un fichier infectieux dans ta corbeille. Vide la. Pour plus de tranquilité, tu peux supprimer les fichiers dans la quarantaine de GDATA, surtout si tu ne t'en seras pas et que tu n'en as pas besoin. Je persiste néanmoins à croire qu'il s'agit de faux positifs, mais je n'ai pas encore eu d'échos des collègues à ce sujet. C:\APPS\Softex\OmniPass\scureapp.exe Il s'agit d'un outil de sécurité. Cela dépend des versions installées, mais ces produits permettent généralement de crypter des données, etc. Il n'est pas étonnant, au vu des fonctions proposées que ce dernier puissent être détectés comme dangereux. Site de l'éditeur ici. Comme il est préinstallé, je suppose qu'il s'agit d'un setup d'installation d'une version bridée d'essai, t'incitant par la suite à l'acquérir. C:\APPS\OFFICE_1\All\oonepdf\SETUP.EXE Je pense qu'il s'agit d'un setup d'installation de démonstration du produit OFFICE ONE PDF, t'incitant sans doute après une période d'essai à l'achat du ou des produits, pour ça qu'il est préinstallé. Convertissez tous vos documents au format PDF. Hormis ces deux détections, tout va bien ?

Bonjour Bulles Je ne connais pas cette "inspection de sécurité" par Norton, mais je pense qu'il a dû détecter que ton fichier hosts était modifié, et pas d'origine. En ce cas, deux cas de figure : Toi, ou un de tes outils de sécurité (Spybot le fait par exemple) a ajouté des entrées dans ton fichier hosts. Un programme malveillant a inséré des entrées Concrêtement, il est possible ainsi de rediriger certaines domaines sur d'autres. Dans une utilisation normale, cela permet d'éviter d'atterrir sur des sites dits à risques ou dangereux, etc. Dans une utilisation malhonnête, cela permet d'empêcher l'accès à certains sites, et de rediriger le cas échéant sur d'autres pages, ou d'imposer le passage par une page avant d'accéder à d'autres. Je t'invite à lire cet article de Tesgaz sur Speedweb et cette conversation sur Zebulon au sujet du fichier hosts afin de comprendre son fonctionnement. Maintenant, sans plus d'éléments, il n'est pas possible de savoir ce qu'il en était. N'as tu pas de rapports Norton que tu pourrais communiquer, peut être y aurait-il plus de détails ? Si tu constates des disfonctionnements particuliers sur ton pc, peut-être es tu alors infecté ; en ce cas, il te faudra alors effectuer une demande d'analyse sur le sous-forum Analyse. A bientôt.

Re J'avais zappé que tu avait fait une restauration entre temps de ton image. Il n'y a plus de SDFIX. Pour Diaghelp, il se trouve sur ton bureau (un répertoire). Tu peux le supprimer. Supprime le fichier Diaghelp.zip également, et les fichiers à la racine : Diff.exe, grep.exe, ntbtlog_check.txt, et reboot.cmd. Mais ils me semblent en re relisant que tu les a déja supprimés. Tu peux conserver Hijackthis si tu le souhaites, sinon tu peux le désinstaller par le panneau de configuration et Ajout/suppression de programmes. Désinstalle le webscanner de Kaspersky également, de sorte de devoir retélécharger l'activeX la prochaine fois que tu l'utiliseras, ce dernier ayant eu une importe mise à jour de sécurité. Je vais te demander de rapporter ton infection sur Malware Complaints s'il te plait. Dans ton cas, tu as été infecté notamment par une infection de type "Trojan", au petit nom (nom antivir) de TR/PSW.Small.B.1. Le sujet Autres infections sera donc le plus approprié. Si as des questions, pose les ; sinon je t'invite à passer ton sujet en résolu comme ceci : clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Enfin, je t'invite aussi à consulter cette page où tu trouveras une concentration de divers liens d'articles de prévention, de téléchargements d'utilitaires et de tutoriels associés. A bientôt, bon surf.

Bonjour tous les 2 C'est à titre de précaution, l'infection ne vient parfois pas seule, et il y a parfois des processus infectieux récalcitrants. Et cette infection MSN n'est pas qu'une simple petite infection, elle devient de plus en plus complexe Il y avait en plus des entrées registres encore présentes, liées à l'infection. Je veux m'assurer qu'il ne s'agit que de restes dans le registre, et que les fichiers associés ne sont plus la. A bientôt.

Bonjour fredo77 Avais tu supprimé déja Diaghelp et Sdfix ?

Bonjour Bailing Curieux, le script pour nettoyer les clés des processus en exception dans le pare-feu windows ne semble pas avoir fonctionné. Ou je me suis trompé dans le script, ou les processus sont revenus. On va voir ça. Regarde si tu trouves et supprimes les si possible : C:\WINNT\System32162432ld.exe <-ce fichier C:\WINNT\System32399162ld.exe <-ce fichier Supprime le répertoire Qoobox et l'archive que tu avais crée sur ton bureau. On va effectuer à nouveau un nettoyage en mode sans échec. Télécharge AVG AS - Mets le à jour. Ferme AVG AS. Ne pas le lancer tout de suite. Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php Télécharge ATF Cleaner par Atribune. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Je te demande de le retélécharger afin d'avoir une version à jour. Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page Redémarre en mode sans échec : (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) C'est un mode de diagnostic et de débuggage de Windows, il est normal que cela mette du temps à démarrer et que l'affichage soit différent. NB:Si problème, consulte cette aide : http://www.malekal.com/modesansechec.phpDouble-clique ATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Lance AVG AS et clique sur Analyse Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Redémarre en mode normal. Poste : le rapport AVG AS le rapport SDFIX un nouveau log hijackthis A plus tard. Prends le temps de bien lire tout ça, suis pas à pas les instructions.

Ce billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien. Les infections se propageant par les supports amovibles : USB, Flash, etc. Note : un post synthétique est disponible ici. De quoi s'agit-il ? La nature même de ces infections est classique AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc. Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) : Vers disques amovibles Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper , mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) : Infection sur disques amovibles Schéma de propagation Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée. De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement. Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows. Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC. Quels sont les symptômes apparents ? Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus. Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant. La clé : le fichier Autorun.inf Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction. Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes : Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume. Je suis infecté, que faire ? Il n'y a pas de méthodes miracles, sinon y aller avec méthodologie Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés. Flash Disinfector Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet : J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Développer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc. Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur. Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum. Comment se préserver de ce type d'infections ? N'ouvrez pas vos volumes en double-cliquant En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Développer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma : L'action de l'autorun.inf est évité en sélectionnant Développer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement. Désactiver l'autorun par défaut dans Windows Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Développer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent. Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc. autorun_off.reg La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. autorun_on.reg Enfin, pour pallier à une réactivation de la fonction autorun par une éventuelle infection, vous pouvez "doubler" la désactivation en détournant la fonction en elle-même. A cet effet, télécharger de la même manière que précédemment le fichier REG suivant (merci JF:)) inifilemapping-autorun-protection-activee.reg La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. Un redémarrage sera nécessaire ensuite. inifilemapping-autorun-suppression-de-la-clef.reg Conserver sa clé saine, la "vacciner" La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections. Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure : C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Développer ou en le désactivant via la base de registre. Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée". Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule". Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports. Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen. VaccinUSB.exe Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. A présent, l'outil détectera automatiquement toutes les partitions et les supports, et les vaccinera en conséquence. Il n'est plus nécessaire de copier-coller l'outil à la racine de chacun des disques. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté : Démonstration par l'image d'une infection et désinfection J'ai inséré ma clé dans un pc contaminé J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence. Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien. On voit nettement les processus AdobeR.exe et Temp1.exe. Procédons à la désinfection Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu. Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste. Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le. C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux. Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider

Ce billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien. Les infections se propageant par les supports amovibles : USB, Flash, etc. Note : un post synthétique est disponible ici. De quoi s'agit-il ? La nature même de ces infections est classique AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc. Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) : Vers disques amovibles Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper , mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) : Infection sur disques amovibles Schéma de propagation Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée. De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement. Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows. Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC. Quels sont les symptômes apparents ? Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus. Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant. La clé : le fichier Autorun.inf Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction. Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes : Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume. Je suis infecté, que faire ? Il n'y a pas de méthodes miracles, sinon y aller avec méthodologie Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés. Flash Disinfector Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet : J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Développer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc. Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur. Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum. Comment se préserver de ce type d'infections ? N'ouvrez pas vos volumes en double-cliquant En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Développer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma : L'action de l'autorun.inf est évité en sélectionnant Développer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement. Désactiver l'autorun par défaut dans Windows Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Développer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent. Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc. autorun_off.reg La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. autorun_on.reg Enfin, pour pallier à une réactivation de la fonction autorun par une éventuelle infection, vous pouvez "doubler" la désactivation en détournant la fonction en elle-même. A cet effet, télécharger de la même manière que précédemment le fichier REG suivant (merci JF:)) inifilemapping-autorun-protection-activee.reg La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. Un redémarrage sera nécessaire ensuite. inifilemapping-autorun-suppression-de-la-clef.reg Conserver sa clé saine, la "vacciner" La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections. Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure : C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Développer ou en le désactivant via la base de registre. Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée". Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule". Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports. Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen. VaccinUSB.exe Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. A présent, l'outil détectera automatiquement toutes les partitions et les supports, et les vaccinera en conséquence. Il n'est plus nécessaire de copier-coller l'outil à la racine de chacun des disques. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté : Démonstration par l'image d'une infection et désinfection J'ai inséré ma clé dans un pc contaminé J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence. Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien. On voit nettement les processus AdobeR.exe et Temp1.exe. Procédons à la désinfection Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu. Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste. Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le. C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux. Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider

Bonjour rickplay Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email Ton rapport révèle en effet des traces infectieuses. Mais tu as posté au mauvais endroit, à la suite d'un autre sujet. Tu risques de ne pas être vu ici. Je t'invite à te créer ton propre sujet, dans le sous-forum Analyse rapports HijackThis, Eradication malwares en cliquant sur Nouveau en haut à droite. Tu y mets le titre que tu souhaites, tu postes ton rapport comme tu l'as fait ici, et tu devrais être rapidement pris en charge. A bientôt.

Un petit topo sur les infections par MSN ou Windows live messenger. Concrêtement, qu'est ce qui se passe ? Les symptômes révélant qu'un de vos contacts est infecté Un contact familier vous envoie un message instantané vous invitant à télécharger un fichier censé contenir des photos avec une prase anodine et suggestive, alors que vous n'avez pas échangé de messages précédemment, et que vous n'avez pas non plus sollicité ce fichier. Que faut-il faire ? Refuser ce fichier bien entendu et joindre ce contact par un autre moyen afin de le prévenir de l'infection. L'aiguiller sur une procédure adaptée afin de se désinfecter. Ce dernier pourra alors, de la même manière, prévenir tous ses correspondants de ne pas accepter de fichiers venant de sa part. Si vous n'avez pas accepté ce fichier, vous n'êtes pas infecté. Si vous l'acceptez : vous téléchargez alors ce fichier (le plus souvent un fichier compressé au format ZIP) et vous essayez de lire ce fichier. Une fenêtre d'erreur vous signale alors que le fichier n'est pas lisible pour diverses raisons. Vous voila contaminés à votre tour. A présent, l'infection va s'inviter à tous les contacts que vous possédez, à votre insu : de manière aléatoire, pas systématique et pas à tous les contacts en même temps. Si l'un des vôtres accepte à son tour, il sera également infecté, et la chaîne continue. Les symptômes révélant que vous êtes infecté L'un de vos correspondants vous annonce qu'il a bien reçu votre fichier alors que vous ne le lui avez rien envoyé. Ou encore, au bout de quelques minutes de connexion sous votre compte MSN ou windows live messenger, vous êtes déconnectés sans raisons particulières, et vous avez des difficultés à vous reconnecter. Il est possible qu'un message vous indiquant que vous vous êtes connectés d'un autre pc apparaisse alors, et clôt ainsi votre session ouverte. Ou encore, vous vous apercevez d'envois de fichiers multiples de votre part, sans que vous n'ayiez la possibilité de les refuser. Indépendamment de MSN ou WLM, vous pouvez constater des ralentissements importants du système, du réseau. Des alertes de vos outils de sécurité peuvent aussi vous alerter, sans toutefois réussir à définitivement neutraliser l'infection. Comment savoir si l'invitation à télécharger le fichier est vraie ou est dûe à une infection ? Il n'est pas vraiment possible de se fier à la prase de suggestion de téléchargement. Les premières infections de ce type étaient grossières, le plus souvent la phrase suggestive n'était pas rédigée en français, peu de personnes tombaient dans le panneau. A présent, le texte affiché est dans la langue du système. Rien n'empêche à terme non plus que l'infection puisse identifier les noms et les pseudos alloués aux différents contacts, afin de personnaliser chacun des messages. Le moyen le plus fiable de s'assurer qu'il ne s'agisse pas d'une infection est de joindre le correspondant par un autre moyen. Il est possible toutefois de nuancer : si vous venez de converser longuement avec votre correspondant et qu'il s'agit d'un fichier sollicité, vous ne devriez pas rencontrer de soucis. Cela ne vous empêche pas d'appliquer les règles élémentaires de prudence. De nouvelles variantes apparaissant régulièrement, les phrases changent à la même fréquence. Vous pouvez consulter une liste non exhaustive à titre indicatif sur le forum de Malekal Morte sur ce lien (cliquez sur la roue dentée) : Infections par Messagerie Instantanée (MSN etc...) Les règles de bon sens. Comment s'assurer que le fichier téléchargé est sain ? Vous avez téléchargé un fichier que vous avez sollicité. Ne l'ouvrez pas via l'interface de MSN ou WLM, mais ouvrez votre répertoire de destination des fichiers reçus et procédez à une analyse du fichier suspect avec votre antivirus. Vous pouvez également le soumettre à une analyse en ligne afin d'obtenir l'avis de plusieurs éditeurs de solutions antivirales en procédant comme ceci : La manipulation précédente vaut pour tous les fichiers joints, que cela soit en messagerie instantanée (ici dans ce sujet MSN ou WLM), mais également pour tous types de pièces jointes, que cela soit via mail ou un autre moyen d'échange. Comment se prémunir facilement de ce type d'infection Faites preuve de bon sens en adoptant l'attitude prudente indiquée précédemment. Configurer correctement votre MSN ou WLM de sorte de ne pas accepter les fichiers téléchargés par erreur. Rendez vous dans MSN>Outils>Options...>Sécurité et décochez les 2 caches indiquées ci-dessous : Si vous possédez MSN+ ou WLM+, il vous faudra également vous rendre dans les options de configuration de ce dernier : Plus!>Préférences...>Principal>Conversations et s'assurer que la case suivante est bien décochée Rejeter par défaut les fichiers dangereux Rendez vous dans votre MSN ou WLM, puis, Outils>Options...>Transfert de fichiers, et assurez vous que la case suivante est bien cochée : Cette option sélectionnée, cela permettra de refuser par défaut tous les fichiers proposés possédant les extensions suivantes : Dans le cas où vous désirez obtenir un fichier possédant cette extension, vous pourrez contourner cette interdiction en demandant simplement à votre correspondant de renommer le fichier, et de changer l'extension bloquée en une extension .txt par exemple, ce qui permettra le transfert. Il vous suffira de remettre l'extension ensuite d'origine pour retrouver le fichier original. Cela vous permet à moindre frais de bénéficier du rejet automatique des fichiers dangereux sans être toutefois trop ennuyé. Activer les outils de sécurité pour les transferts Microsoft propose le scanneur de sécurité Windows Live Analyse Sécurité gratuitement, qui a le même moteur que Windows live OneCare, pour analyser les fichiers transférés, en affichant ce résultat directement dans la fenêtre de messagerie. Si vous possédez déja un antivirus, il n'y aura pas d'effets doublons, le scanneur de sécurité se cantonnant uniquement aux fichiers transférés via MSN ou WLM. L'efficacité est toute limitée sur les variantes récentes, mais les anciennes variantes elles, sont correctement prises en compte. L'outil étant gratuit et n'empiétant pas sur les autres outils de sécurité, il serait dommage de s'en priver. Vous pouvez juger par vous même des résultats de détection en consultant les analyses VirusTotal des fichiers infectieux sur ce lien, le moteur du scanneur de sécurité correspondant à la ligne Microsoft du rapport Virustotal. Vous pouvez également définir votre propre antivirus si vous souhaitez que l'analyse soit effectuée par ce dernier. Notez que si le résident de ce dernier est correctement configuré pour analyser en écriture et lecture tous les fichiers, il n'est pas nécessaire d'indiquer via les options de configuration où votre antivirus se trouve. Si pour des raisons multiples le résident de votre antivirus n'analyse pas systématiquement tous les fichiers créés, alors vous pourrez lui indiquer le chemin de ce dernier en vous rendant dans Outils>Options...>Transfert de fichiers comme indiqué sur la capture suivante : Je suis infecté. Et maintenant, que dois-je faire ? Prévenez vos contacts. Si vous pouvez encore vous connecter via votre MSN ou WLM, prévenez tous vos contacts de messagerie instantanée. S'ils ne sont pas en ligne, ou que vous n'avez plus d'autorité sur votre WLM ou MSN et que ce dernier se déconnecte, rendez vous sur votre boîte de messagerie Hotmail directement avec votre navigateur. Cela vous permettra d'envoyer un mail à tous vos correspondants. Pensez à être explicite dans votre explication, n'hésitez pas à donner le lien du ce sujet si vous le désirez. Aidez à contrer ces infections ! Vous avez été infectés et c'est regrettable. Transformez cet accident en opportunité pour aider les auteurs d'outils et analystes à se tenir alertés des dernières variantes rencontrées. Copiez-coller le lien qui vous a infecté, ou qu'un contact infecté vous expédie sur le formulaire suivant : Remontée des liens infectieux. Vous serez notifiés de la bonne réception de votre lien suite à l'upload. De même, si vous possédez le fichier infectieux sur votre pc, mais que vous ne l'avez pas encore ouvert, envoyez-le sur le lien suivant : upload.changelog.fr. Ces démarches sont importantes et aident les développeurs à rester performants afin que chacun puisse en bénéficier. Vous désinfecter seul. De quantités de variantes de ce type d'infection existent, et elles ne se traitent ainsi pas de la même façon. Ce qu'il faut retenir de ces infections, c'est qu'elles ont en commun le vecteur de propagation : MSN ou WLM. Malekal morte a centralisé des procédures à réaliser, de manière autonome, en fonction de l'infection constatée. Vous pouvez les consulter sur ce lien (cliquez sur la roue dentée) : Vers MSN Ce type de désinfection, en autonomie complète est à conseiller aux utilisateurs avertis, ayant identifié l'infection à laquelle ils avaient à faire et connaissant un minimum leur système et l'utilisation des outils standards de sécurité et d'analyse. Vous faire aider. Avant de poster une demande d'aide sur votre forum favori, téléchargez l'outil réalisé par !aur3n7 et quotidiennement mis à jour en fonction des variantes dénichées. Pour XP. Vous trouverez une aide visuelle à son utilisation ici, réalisée par Malekal morte. Il vous sera nécessaire, en créant votre sujet de demande d'aide de désinfection, de joindre ce rapport en précisant les symptômes antérieurs et postérieurs à l'utilisation de l'outil, le fichier infecté que vous avez téléchargé à l'origine (si vous connaissez son nom), le message d'invitation à télécharger ce fichier si vous vous en souvenez, si vous avez correctement "uploadé le fichier créé suite à la détection des suspects, etc. J'attire votre attention sur un point particulier de l'outil ! Les fichiers suspectés d'être infectieux ne seront pas traités par l'outil et seront toujours présents sur votre pc. Cependant, l'outil aura réalisé une copie de ces fichiers suspects qu'il vous faudra expédier à l'auteur afin qu'il les analyse. Ainsi, si les fichiers suspects se révèlent infectieux, ils seront rapidement incorporés à l'outil. Vous contribuerez de cette façon à sa mise à jour qui profitera à tous. Veuillez prendre conscience que suivant l'infection présente, l'outil ne traitera peut-être pas tout, voire rien du tout. Si suite à son passage vous ne constatez plus de symptômes, je vous suggère vivement de procéder tout de même à un contrôle via le forum afin de vérifier que le système soit propre et désinfecté. Bonne chance ~~~~ J'ai du retiré les canned bbcode, ils n'étaient plus à jour.

Bien. Bon, je m'embrouille dans les rapports. Fais ceci que j'y vois plus clair alors : Rends toi dans le répertoire DiagHelp. Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

Re Eh bien en fait, ce n'est pas que je ne veux pas, mais si tu as formaté tu as la quasi-certitude qu'il ne s'agit pas d'un problème infectieux, mais d'un souci d'une autre nature (software ou hardware). Il est possible que ton souris de souris ne soit que la conséquence visible d'un autre souci. As tu résolu ton souci de pilote de carte graphique ? Enfin, je te suggère d'essayer une autre souris, ou d'en récupérer une autre afin de la brancher afin de comparer les résultats.

Bonjour fredo77 Je t'avouerais que je me contente de défragmenter avec l'outil windows. Tu auras des avis plus pertinents que le mien sur ce point en posant la question dans le sous-forum Software, c'est une question qui a certainement déja été posée je pense. Je vais te faire désinstaller les outils utilisés dans ton sujet avant de te laisser partir Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau. Double clique sur ToolsCleaner2.exe > clique sur Extract sans changer la destination initiale. Ouvre le Poste de Travail > ouvre le Lecteur C:\ Ouvre le dossier ToolsCleaner. Double clique sur ToolsCleaner2.bat et suis les directives. Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt Note : ton bureau va disparaître, c'est normal. S'il n'apparait pas à la fin du scan, fais la manip suivante : CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter" Tape explorer.exe et valide. Cela fera re-apparaître le Bureau. L'outil te demandera si tu veux supprimer tes points de restauration, vider la corbeille, etc. Coche les options proposées. A plus