Gof

Bonjour joseclaire ON va fouiller un peu, je vais te faire avancer. Il reste des éléments (au moins des restes dans la Base de Registre) à traiter. Je ne pourrais sans doute pas prendre en charge ton sujet de bout en bout, faute de disponibilités, mais un membre de l'Equipe Sécu me relaiera quand je ne pourrais plus répondre. Voici ce que je te demande de faire. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir. Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). A bientôt.

Bonjour xbob Parfait. Puisque ton pc ne présente aucun disfonctionnement, je te fais désactiver et réactiver ta restauration système de sorte d'effacer tous tes anciens points de restauration. Histoire de repartir sur des bases saines. Suis la manipulation indiquée : Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci : Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints. Tu étais pour ta part infecté par une infection de type TDSS (variante), et des rogues (faux utilitaires de sécurité). Le sujet "autres infections" sera donc le plus approprié. Si tu n'as pas de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Bon surf et sois prudent

Consulte ce sujet pour voir comment héberger et mettre un lien d'image sur le forum : Comment participer à un forum, la partie "Faire héberger une image".

Je te remercie de ton témoignage

Plop, bonsoir J'avais rédigé un petit sujet PC hors ligne, quel outil de sécurité ? relatif à la problématique du PC non connecté, si jamais cela peut donner une indication.

Bonjour joseclaire Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement ---------------------------------- Tu as une infection de type Bagle. C'est une infection qui se propage essentiellement par cracks infectieux et que l'on retrouve beaucoup sur les réseaux d'échange. Tu as utilisé ComboFix de ta propre initiative, alors qu'il ne faudrait pas, l'outil peut être dangereux. Deux cas de figure : tu ne changes pas ton attitude sur le Net, et on va perdre notre temps. Autant que tu formates tout de suite. Tu prends en compte que ton attitude est imprudente, tu supprimes les cracks présents (et sans doute vérolés), et on voit ce que l'on peut faire. A toi de voir.

Merci, c'est gentil Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints. Tu étais pour ta part infecté par une infection se propageant par supports amovibles, le sujet "autres infections" sera le plus approprié. Si tu n'as pas de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Bon surf et à bientôt !

Bonne nouvelle Reste-t-il des soucis ? Des questions ? Tout a-t-il été appliqué ?

Oui, les tutos sont pour une version 8, depuis l'outil est en version 9. Il se peut que les écrans diffèrent. Mais l'inscription par Mail n'est qu'optionnelle aux informations Avira, elle n'est pas obligatoire; Tu peux cocher ou décocher (je ne sais plus de tête) pour ignorer cette étape

Décidément. Essaie avec le setup disponible sur ce lien : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe

*** Q9 : Des clés et valeurs suivantes dans la BdR, lesquelles pourraient permettre d'exécuter un processus infectieux (vilain) au démarrage du système ? Toutes les propositions de réponse sont ici vraies. Nous allons voir cela un peu plus en détail. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "vilain"="c:\vilain.exe" Cette réponse est en effet vraie. Il s'agit de l'entrée de base pour exécuter un processus au démarrage de Windows. HKLM\...\Run, KHCU\...\Run Ce sont notamment ces entrées, suivant la clé parente, que nous retrouvons sous l'onglet "Démarrage" de MSCONFIG, et/ou dans les lignes O4 d'un rapport HijackThis. On peut y retrouver les entrées de démarrage associées à la session, ou d'une manière plus générale, associées à toutes les sessions (all users), quelles qu'elles soient. Les exemples d'infections s'exécutant ainsi sont très nombreux ; elles ne sont pas les plus difficiles à maîtriser, car leur exécution via ces clés est visible et peu discrète. Vous avez été 78 % à trouver cette bonne solution, c'est celle qui a remporté le plus d'adhésion. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe, vilain.exe" Cette proposition est vraie. Cette entrée permet notamment d'exécuter un processus automatiquement à l'ouverture d'une session Windows. On peut trouver le cas de Mabezat par exemple, que l'on rencontre assez souvent sur les forums ( Mabezat). Vous avez été 68 % à trouver cette bonne solution. Félicitations. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="vilain.dll" Cette proposition est vraie. Les fichiers DLLs indiqués dans cette valeur sont chargés en mémoire des processus des applications qui sont lancées après cette modification du Registre. C'est un emplacement très sensible. Beaucoup d'infections utilisent ainsi ce procédé ( Exemple Backdoor.Ginwui). Vous avez été 59 % à trouver cette bonne solution. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer] "Debugger"="C:\vilain.exe" Cette proposition est vraie. Une sous-clé peut être ajoutée dans cette clé de Registre, ayant pour nom celui d'une applcation légitime, par exemple Explorer.exe. Dans cette sous-clé Explorer.exe , une infection pourrait créer une valeur chaîne nommée "Debugger", dont les données contiennent le chemin d'accès à un fichier, comme "%Windows%\vilain.exe" , et vilain.exe sera exécuté à chaque fois qu'une instance d'explorer.exe sera lancée ( Exemple W32.Ridnu.B). Vous avez été 9 % à trouver cette bonne solution. Visiblement elle vous était inconnue [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi1"="vilain.dll" Cette proposition est vraie. Des valeurs chaîne dans cette clé de Registre définissent les DLLs de plusieurs applications. On observe ainsi que des nuisibles écrivent dans cette clé et s'installent en tant que pilote .midi, ce qui provoque leur chargement en mémoire par toutes les applications qui utilisent le son, c'est à dire quasiment toutes les applications sur un système. L'infection Daonol utilise ce procédé ( Exemple Daonol). Vous avez été 62 % à trouver cette bonne solution. Bravo. Enfin, pour 6% des votants, la question et les suggestions de réponse étaient du chinois Cette question, et les suggestions de réponse ici proposées, s'inspirent de la liste des lancements de Malware synthétisés par Tony Klein sur le sujet suivant : A Collection of Autostart Locations. Vous pouvez consulter la traduction française de ce travail, effectuée par NickW sur le forum assiste de Pierre Pinard : Une collection d'emplacements de démarrage automatique. *** Fin donc de cette troisième série du Quizz Sécu. Rendez-vous ce soir pour une nouvelle série ! A vos commentaires

Quel est le message d'erreur rencontré à l'installation ?

Bien sûr As-tu consulté le sujet "PC Hors ligne, quel outil de sécurité ?" ? Je pense que c'est important pour ton PC non connecté. As-tu des questions ?

Arf. Zut. As-tu réessayé de téléchargé le fichier "hors ligne", au cas où le téléchargement aurait été tronqué ?

Bonne continuation

Avast est un antivirus en effet, et son Bouclier Web et Peer-to-Peer ne sont pas de vrais pare-feux. Mais sur Vista, le pare-feu par défaut est amplement suffisant surtout si tu es derrière une Box-routeur (qui fait aussi office de pare-feu matériel). As-tu exécuté toutes les étapes, sur les deux PC et la clé ?

Regarde directement sur ce lien : http://www.java.com/fr/download/manual.jsp Tu y auras deux versions : une en ligne, pour le PC Vista, une hors ligne pour le PC XP qu'il te faudra copier-coller sur la clé USB.

Bonjour Canari Jones Celaq peut-être le fait d'une infection présente sur ton système. Il est courant que ces options d'affichage soient désactivées par des infections, et que leur rétablissement n'est pas possible tant que l'infection n'est pas maîtrisée. Avant toute chose, je te suggère de t'assurer qu'aucune infection ne soit présente. Pour cela, rends toi sur le forum : Analyse rapports HijackThis, Eradication malwares Et exposes-y les soucis et symptômes rencontrés.

Bonjour à tous, Fermeture du Quizz à 32 votants. Qu'est ce que cela signifie ? Cela signifie que le Quizz reste ouvert pour ceux qui n'ont pas voté, mais qu'il ne sera pas pris en compte leurs réponses à compter de maintenant dans l'interprétation des réponses proposées. Par la suite nous vous proposerons la résolution de cette série, tous vos commentaires, remarques et suggestions seront alors les bienvenus En soirée, un nouveau Quizz vous sera proposé, ouvert également pendant une semaine.

Bien. Au boulot. Pour le PC sous Vista Rends toi dans ton Panneau de configuration > Programmes et fonctionnalités et désinstalle : Adobe Reader 9 - Français <= obsolète HijackThis 2.0.2<= tu n'en as plus besoin Java™ 6 Update 13 <= obsolète UsbFix<= tu n'en as plus besoin Supprime les éléments suivants de ton Bureau si présents : rsit.exe SystemLook.exe autorun_off.reg inifilemapping-autorun-protection-activee.reg VaccinUSB.exe Supprime les répertoires suivants si présents : C:\rsit c:\Usbfix Vide ta Corbeille. Rends toi sur le lien suivant pour télécharger et installer une version Adobe Reader à jour, ou consulte cette page pour une alternative gratuite de logiciels libres. Télécharge la dernière version JAVA sur ce lien, et la dernière version du Flashplayer ici. Tu peux consulter ce tuto de Malekal Morte pour t'aider. Conserve les Setup ainsi téléchargés pour le PC sous XP. Je t'avais fait faire ceci pour avoir accès à tous les fichiers => Je te conseille de laisser cette option d'affichage, car cela te permet de voir réellement ce que tu as sur ton disque. Cependant, il faut faire très attention à ne pas effacer inconsidérément un fichier caché, il peut être nécessaire à la bonne marche de ton pc. A toi de voir si tu veux les recacher. Enfin, je te suggère de désinstaller complétement Norton vu qu'Avast est déjà présent. Je ne suis pas amateur de Avast, mais encore moins de Norton Une observation encore : System drive C: has 8 GB (6%) free of 143 GB <=> Ton espace disque libre est insuffisant sur la partition système,, cela peut occasionner des ralentissements importants. Je te suggère fortement de déplacer quelques documents volumineux non essentiels au système sur une autre partition. Pour la clé USB qui a servi au transfert des outils Vista/XP Supprime les éléments suivants si encore présents, tu n'en as plus besoin : mbam-setup.exe HJTInstall.exe KillProcess.exe autorun_off.reg inifilemapping-autorun-protection-activee.reg WindowsXP-KB967715-x86-FRA.exe Vide ta Corbeille. Pour le PC sous XP Rends toi dans ton Panneau de Configuration > Ajout/Suppression de programmes et désinstalle : Adobe Reader 6.0.1 - Français <= obsolète Adobe Acrobat - Reader 6.0.2 Update <= obsolète Java™ 6 Update 7 <= obsolète VLC media player 0.9.8a <= obsolète HijackThis 2.0.2 <= tu n'en as plus besoin Supprime les éléments suivants de ton Bureau si présents : rsit.exe Les éventuels fichiers que tu avais initialement copié-collé de la clé USB qui servait au transfert Supprime le répertoire suivant : C:\rsit Vide ta Corbeille. Ici, installe à nouveau une application à jour pour lire les PDF (c'est pour cela que je t'ai indiqué de conserver le setup qui t'a servi aussi sur le PC Vista). Fais de même pour Java. Pour une version à jour de VLC, tu la trouveras ici. Je t'avais fait faire ceci pour avoir accès à tous les fichiers => Je te conseille de laisser cette option d'affichage, car cela te permet de voir réellement ce que tu as sur ton disque. Cependant, il faut faire très attention à ne pas effacer inconsidérément un fichier caché, il peut être nécessaire à la bonne marche de ton pc. A toi de voir si tu veux les recacher. Même si ce PC n'est pas connecté, il est imprudent de le laisser sans Antivirus. Il est déjà sécurisé pour l'insertion de supports amovibles potentiellement infectés, mais je te suggère d'y installer aussi un Antivirus. Pour cela, je t'invite à consulter le sujet suivant : PC hors ligne, quel outil de sécurité ?. Tu pourras bien sûr occulter toute la partie USB que nous avons déjà faite. Reviens m'indiquer si tout s'est bien passé

Rebonjour Tu ne me fais pas perdre mon temps. Je reviens en t'indiquant les manipulations à effectuer sur les deux PC pour remettre les choses à leur configuration d'origine, et te faire désinstaller les outils, le temps de rédiger tout cela.

Aïe. Bonjour Ensor, Décidément, tu joues de malchance. Le message suivant : le msg suivant est apparu: "Windows n'a pas pu démarrer car le fichier Windows\system 32\config\system est manquant ou endommagé". apparaît parfois lorsqu'il y a eu une corruption de la Base de Registre. Si la console de récupération est installée ou si un cd de Windows n'est pas loin, il y a possibilité de réparer le souci sans trop de difficultés. Mais je vois que tu as restauré. Tu rencontres le message d'erreur à la tentative de l'installation de la console uniquement, c'est cela ?

Bonjour Arnipoul Bon boulot. Comment vont les deux PC ? Constates tu des soucis à présent ? Une question pour le système sous XP et non connecté, connais tu ce processus placé dans le répertoire "Démarrage" du Menu Démarrer ? => EIDSYN.BAT Si tu le connais, peux tu me dire à quoi il sert ?

Oui. Comme précédemment, il te faut faire un clic droit sur les liens, et sélectionner "Enregistrer la cible du lien sous" afin de les télécharger sur la clé. Tu dois obtenir deux fichiers, tous deux avec l'icône registre : Si tu obtiens encore l'icône txt, comme tout à l'heure, pense à changer l'extension comme je te l'avais indiqué tout à l'heure, en effaçant le .txt. Zou, à demain, bonne nuit.

Ok. Je vais te demander de suivre consciencieusement la manipulation suivante. Si tout se passe bien, tu seras désinfecté, et ton PC hors ligne sera prémuni contre cet type de menaces (se propageant par supports USB). Suis la manipulation suivante : Télécharge le setup de mbam : http://www.malwarebytes.org/mbam/program/mbam-setup.exe Et copie-colle le sur ta clé. Télécharge HijackThis : http://www.trendsecure.com/portal/en-US/_d.../HJTInstall.exe Et copie-colle le sur ta clé. Télécharge KillProcess : http://www.01net.com/telecharger/windows/U...ches/24439.html Et copie-colle le sur ta clé. Télécharge le fichier suivant : http://www.microsoft.com/downloads/details...9e-e64ecfb35d74 Et copie-colle le sur ta clé. Télécharge les deux fichiers REG précédents : http://pagesperso-orange.fr/-Gof/DL/autorun_off.reg http://fspsa.free.fr/inifilemapping-autoru...ion-activee.reg Et colle les sur ta clé Copie-colle le fichier VaccinUSB également sur ta clé. Rends toi sur ton PC XP. Exécute Killprocess, une fenêtre va s'ouvrir. Clique sur sanquer.exe afin de le sélectionner, et clique ensuite sur Kill en haut. A la demande de confirmation, clique sur Ok Installe HijackThis qui est sur ta clé. Double-clique sur HJTInstall.exe et suis les instructions d'installation. Clique sur Do a system scan only et coche les lignes ci-dessous : O4 - HKCU\..\Run: [sanquer] C:\Documents and Settings\sanquer\sanquer.exe Ferme toutes les fenêtres sauf HijackThis et Fix Checked. Assure toi d'avoir l'accès aux fichiers et dossiers cachés. Supprime le fichier suivant : C:\Documents and Settings\sanquer\sanquer.exe Puis, exécute le fichier WindowsXP-KB967715-x86-FRA.exe que tu as téléchargé sur ta clé. Fusionne les deux fichiers REG au registre que je t'ai fait également télécharger Exécute enfin le fichier VaccinUSB.exe Exécute MBAM afin de l'installer. Double clique sur le fichier téléchargé pour lancer le processus d'installation. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir. Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Reviens avec le rapport MBAM, et dis moi comment tout cela s'est passé. Fais attention, entre l'insertion de la clé avec les outils copiés-collés et la suppression du fichier sur le système XP, le fichier aura eu le temps de se répliquer sur la clé. Il faudra donc de nouveau le supprimer sur la clé. Je ne serais peut-être plus là ce soir si tu réponds, alors je te dis à demain