Gof

En effet, il ne s'agit pas du vaccin, mais d'un autorun.inf fonctionnel. Comme nous avons désactivé la fonction autorun sur ton PC, il n'a pas été interprété par le système et ne t'a pas infecté. Supprime ce fichier, et supprime le fichier SanQueR.EXe si tu le vois présent sur H. Puis, relance à nouveau le vaccinUSB, et assure toi qu'il y a bien le répertoire vaccin à la place.

Tu as encore SystemLook de présent sur ton Bureau. Nous allons l'utiliser. Fais un clic-droit afin de l'exécuter en tant qu'administrateur L'outil va s'ouvrir. Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire. Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil : :file h:\autorun.inf :contents h:\autorun.inf :folderfind autorun.inf Puis, clique sur Look L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport Poste le contenu complet du rapport à la suite

En l'occurence, ici, supprimer aurait été le plus approprié. Mais un fichier un quarantaine n'est plus dangereux, et peut être restauré en cas de doutes si jamais c'était une fausse alerte. Si cela devait arriver à nouveau et que tu ne sais pas s'il s'agit réellement d'un fichier dangereux, privilégie donc la "quarantaine" dans le doute, ce qui te permettra d'avoir une option de restauration du fichier en cas de disfonctionnements quelque part. Non, il s'agit de répertoires vaccins. Tu les vois parce que nous avions modifié les options d'affichage ; mais lorsque nous les rétablirons à l'état d'origine, tu ne les verras plus. D'ailleurs, tu t'en rendras compte si tu essaies de les supprimer par toi-même, tu ne pourras pas les supprimer facilement. C'est fait exprès afin qu'ils résistent aux infections. Pour le PC sous Vista, les soucis semblent être résolus. Si tu me confirmes, je te fais désinstaller les outils utilisés sur ce PC. Il va falloir songer aussi à ne garder qu'un seul antivirus. ------------------------------- A présent pour le PC sous Windows XP, non connecté, qui est vraisemblablement infecté. Télécharge à nouveau RSIT.EXE et copie-colle le sur une de tes clés vaccinées de sorte de pouvoir l'exécuter sur l'autre PC. Lorsque tu copieras-colleras les rapports sur la clé USB afin de me les poster de ton Pc sous vista qui est connecté, prends soin d'analyser à nouveau la clé avec l'antivirus, afin de voir si la clé a été contaminée à l'insertion sur le pc sous XP. J'attends donc les rapports du PC sous XP

Cette fois-ci, Avast doit pouvoir le traiter. Veux tu essayer et confirmer ?

Pour la clé USB et le disque dur multimédia, tu peux à présent les brancher sur le PC que nous venons de traiter. Tu les branches, les allumes si nécessaire. Mais sans ouvrir les lecteurs. Tu exécutes à nouveau le VaccinUSB. Si une infection était présence sur ces deux supports, leur système de propagation aura été neutralisé. Ensuite, une fois le rapport généré, tu les analyses avec ton Antivirus. Tout simplement. Ces supports seront propres et non contaminants à l'issue. Pour le deuxième PC, de quel type de système Windows s'agit-il ?

C'est donc tout bon Ainsi, ce PC est prémuni contre l'exécution automatique de fichiers infectieux se propageant par supports amovibles. Les différents supports que tu as vacciné, ne seront plus non plus contaminants. C'est à dire que tu ne pourras pas infecter ta machine, ou une autre machine avec les supports vaccinés. Cela n'empêchera pas peut-être que des fichiers infectieux se greffent sur le support amovible si tu les insères dans un PC déjà infecté, mais cela permettra d'éviter que les clés, à leur tour, n'infectent d'autres PC. A présent, la seule prudence qui restera, est de juste prendre soin d'analyser le supports amovible, en cas de doute, avec l'antivirus. Il devrait traiter sans soucis tout élément indésirable à présent. As-tu compris la manipulation ?

Alors, rends toi dans ton Panneau de configuration > options des fichiers et dossiers Va sur Affichage Assure toi que Afficher les fichiers et dossiers cachés soit sélectionné Et que les deux cases masquer les fichiers protégés du système d'exploitation et Masquer les extensions des fichiers dont le type est connu ne soient pas sélectionnées Cela te permettra de voir l'extension réelle des fichiers et donc de les modifier. Via ces options d'affichage tu verras des fichiers que tu ne voyais pas auparavant ; rassure toi, c'est normal. Il s'agit de fichiers associés à Windows. Par la suite, je te ferais rétablir à l'état d'origine les options d'affichage.

Ok. Ceci donc => Tu dois donc avoir comme nom de fichier autorun_off.reg.txt à la place de autorun_off.reg Si tu vois le .txt dans le nom, fais un clic droit sur le fichier, sélectionne Renommer, et efface les derniers caractères du nom du fichier, soit .txt (avec le point). Tu auras un message d'avertissement t'indiquant que tu es en train de changer l'extension, valide. Ensuite, tu retrouveras l'icone que je t'ai montrée précédemment, et tu pourras fusionner. Si tu ne vois pas l'extension .txt et que tu ne peux donc pas renommer, dis le moi.

Le fichier a bien cette icône ? => Ou l'icône est-elle différente ?

Alors, plutôt que d'effectuer un double-clic, fais un clic-droit et sélectionne fusionner Il faudra faire la même chose avec le deuxième fichier REG.

Ok Pour commencer, créée un nouveau point de restauration. Pour cela, rends toi dans ton Menu Démarrer > Tous les programmes > Accessoires < Outils Systèmes > Restauration du système. Sélectionne le lecteur C puis clique sur créer. Donne lui un nom reconnaissable que tu auras choisi. Tu peux t'inspirer de cette image : créer des points de restauration manuellement. Rends toi dans ton Panneau de configuration > Exécution automatique, et désactive l'Exécution automatique sur tous les supports. Télécharge le fichier suivant : autorun_off.reg en faisant un clic-droit sur mon lien, et en sélectionnant "Enregistrer la cible sous". Sauvegarde le fichier sur ton Bureau. Double-clique pour l'exécuter, un message te demandera si tu acceptes la fusion, valide. Accepte les changements s'il t'est demandé de valider une nouvelle fois. Ce sera rapide. Supprime ensuite le fichier. Fais la même manipulation avec le fichier suivant : inifilemapping-autorun-protection-activee.reg. Supprime ensuite le fichier. Branche tes supports amovibles sans les ouvrir à présent. Télécharge VaccinUSB sur ton Bureau. Fais un clic droit afin de l'exécuter en tant qu'administrateur. Ce sera rapide, une fenêtre noire va s'ouvrir, ne la ferme pas, et ne prête pas attention à ce qui est écrit dedans. Un petit rapport sera généré ensuite, ton Bloc-notes s'ouvrira tout seul. Poste le contenu à la suite. Si tu n'as pas assez de ports pour vacciner tous tes supports amovibles, renouvelle l'opération une nouvelle fois (un rapport est généré à chaque exécution de l'outil). Redémarre le PC, reviens m'indiquer si tout s'est bien passé

Re Pour le formatage, je n'en suis pas vraiment partisan. Je trouve que c'est rarement nécessaire, et souvent la solution de "facilité" qui ne permet pas finalement de résoudre les soucis s'ils se représentent une nouvelle fois. Pour les soucis de configuration Vista, je te suggère d'exposer ces derniers dans la partie Software>Vista du forum, où tu auras des habitués du système plus à même de te répondre. Ils sauront aussi te guider si tu t'orientes finalement sur un formatage. Content que le souci soit résolu malgré tout et d'avoir constaté qu'une réinstallation de l'application a suffi.

Le fichier en question ne semble plus présent. Voilà ce que je te suggère de faire ensemble si tu veux bien. Je t'invite dans un premier temps à consulter le sujet suivant : Infections par supports amovibles. Lorsque tu auras pris connaissance du sujet, je te propose de désactiver ta fonction Autorun sur tous les types de supports. Cela signifiera que tu n'auras plus la petite fenêtre te demandant ce que tu souhaites faire à l'insertion d'un support tel qu'une clé USB ; à la place rien ne s'affichera, et tu seras contraint de passer par le Poste de Travail (Ordinateur sous Vista) pour en visualiser le contenu. C'est un peu contraignant, mais ça te permettra tout simplement de ne pas t'infecter en ouvrant un support amovible, même si ce dernier est infecté. Dans un second temps, je te propose de vacciner tes supports amovibles, ils ne seront plus "propagateurs" d'infections. Si tu es d'accord, on se lance

Renouvelle un rapport RSIT Arnipoul je te prie.

Bonsoir xbob Parfait. Je te fais désinstaller les outils utilisés. Rends toi dans ton Menu Démarrer > Exécuter et copie-colle : combofix /u Puis valide. Supprime les fichiers suivants de ton Bureau, si présents : rsit.exe le fichier gmer téléchargé Combo-Fix.exe CFScript.txt Rends toi dans ton Panneau de configuration > Ajout/Suppression de programmes et désinstalle : Adobe Reader 7.0.7 - Français <= obsolète HijackThis 2.0.2 <= tu n'en as plus besoin Java™ 6 Update 13 <= obsolète Supprime les répertoires suivants si présents : C:\rsit C:\Qoobox Vide ta Corbeille. Rends toi sur le lien suivant pour télécharger et installer une version Adobe Reader à jour, ou consulte cette page pour une alternative gratuite de logiciels libres. Télécharge la dernière version JAVA sur ce lien, et la dernière version du Flashplayer ici. Tu peux consulter ce tuto de Malekal Morte pour t'aider. Je vois que tu es amateur de P2P, je t'invite à consulter ce sujet : Les risques sécuritaires du P2P, le point sur les 10 idées reçues par Ogu. Il ne s'agit pas de faire de morale, mais de l'information. Reviens m'indiquer si tout s'est bien passé.

Bonjour mauricer Je te remercie de ton intervention qui était destiné à faire avancer Arnipoul, cela part d'une bonne intention, je le comprends bien. Mais sur Zebulon, nous demandons à ce qu'il n'y ait pas plusieurs intervenants dans les sujets de désinfection en cours, pour diverses raisons. Je t'invite à lire le sujet suivant : Faq - Fonctionnement de la section Analyse rapports HijackThis, Eradication malwares. Merci toutes fois du geste qui partait d'une bonne intention ---------------- Re Arnipoul, Télécharge SystemLook de jpshortstuff sur ton Bureau. Fais un clic droit afin de l'exécuter en tant qu'Administrateur L'outil va s'ouvrir. Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil : :filefind arnaud.exe Puis, clique sur Look L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport Poste le contenu complet du rapport à la suite

Re Alors deux éléments. Je te suggère fortement de désinstaller : pdfforge Toolbar v1.0. Car cette barre d'outil inclut un module très indiscret, SearchSettings. Ce n'est pas un élément que l'on qualifie de dangereux, mais que l'on peut considérer comme infectieux vu les indiscrétions de ce module. Je te suggère de consulter les deux liens suivants qui traite d'une manière générale des barres d'outils : Vie Privée et Barres d'outils - Les barres d'outils, ce n'est pas automatique de Pierre Pinard Les toolbars c'est pas obligatoire ! de Malekal Morte ----------- Je souhaiterais que tu fasses analyser un fichier en ligne, je le crois responsable de l'infection USB. Rends toi sur ce lien : Virus Total Clique sur Parcourir Rends toi jusque sur ce fichier si tu le trouves : C:\Users\Arnaud\Arnaud.exe Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes. Je vois que USBFIX est déjà présent sur le système. Quand est-ce que tu l'avais exécuté ? Le rapport devrait normalement se trouver ici : C:\Usbfix.txt Regarde s'il est présent, et poste le moi si tu le trouves. Ok, on s'en charge après

Re S'agissait-il aussi d'un Windows Vista avec KIS 2010 ? Si ce n'est pas le cas, on aurait pu imaginer que 2010 ne serait pas encore supporté par le centre de sécu ? J'attends de voir en fonction de ta réponse. S'il s'agissait de cela, il aurai suffi d'indiquer au centre de sécu de ne pas se soucier de la suite de sécurité qu'il ne détecte pas.

oui Lorsque tu réponds, privilégie le bouton "répondre" entre "flash" et "nouveau" plutôt que l'autre, cela t'évitera de reprendre tout le contenu du post précédent dans ta réponse.

Ton rapport révèle quelques entrées infectieuses en effet. Je vais te faire exécuter un outil générique, MBAM que tu as déjà, et on avisera ensuite s'il n'est pas suffisant. Exécute Malwarebytes' Anti-Malware (MBAM) Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir. Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Essaie de faire strictement la manipulation décrite pour voir. Dans ton cas tu as supprimé tous les fichiers du répertoire Repository, en conservant le répertoire vide ; dans le mien, le répertoire est complètement supprimé.

Bonjour Arnipoul Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement --------------- Génère un rapport comme ceci je te prie. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Fais un clic-droit sur RSIT.exe afin de lancer RSIT en tant qu'Administrateur Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Bonjour maincoon06 As-tu effectué la manipulation suivante ? Si ce n'est pas le cas, essaie et dis ce qu'il en est.

Bonjour xbob Navré des délais, j'ai eu très peu de disponibilités cette semaine. En effet, c'est normal. MBAM en analysant les fichiers chatouille Antivir qui les détecte en même temps que MBAM. Pour que MBAM soit efficace et ne stoppe pas, il aurait fallu désactiver Antivir le temps de l'analyse. Ce n'est pas grave. Vu le délai occasionné depuis le dernier rapport, rapporte moi si tu constates toujours des disfonctionnements, et renouvelle une analyse MBAM à jour, en prenant soin cette fois-ci de désactiver Antivir le temps de l'analyse pour que MBAM ne soit pas gêné.

Bonjour Biessaten Navré des délais, j'ai eu très peu de disponibilités cette semaine. Parfait alors. Mais nous n'avons pas désinstallé les différents outils utilisés. Veux tu que l'on fasse cela ensemble, ou l'as-tu déjà fait ?