Gof

Merci, à toi aussi. Dernière petite chose, un service à te demander : Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints. Tu étais pour ta part infecté par une infection se propageant par supports amovibles notamment. Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Bon surf !

Bien. Voici ce que je te recommande pour te prémunir de ce type d'infections : - désactiver l'autorun (la fonction, et la fonctionnalité) - vacciner tes supports. Cela aura pour désavantage de ne plus ouvrir automatiquement tes supports quand tu les inséreras, tu seras obligé d'aller les chercher dans le Poste de travail. Mais c'est un moindre mal pour une plus grande sécurité. En faisant comme je te le recommande, tu ne pourras plus être infecté à ton insu avec ce type d'infections. Télécharge autorun_off.reg et inifilemapping-autorun-protection-activee.reg sur ton Bureau. Les deux fichiers doivent avoir cette icône : Double-clique sur chacun des fichiers, accepte la fusion à chaque fois, ce sera très rapide. Ensuite, télécharge VaccinUSB.exe sur ton Bureau. Insère tes supports amovibles, et double-clique sur l'outil. Une fenêtre noire s'ouvrira, et travaillera très vite. Ignore les informations qui y seront écrites. Un rapport est généré à titre indicatif, mais nous n'en aurons pas besoin. Ferme le sans y prêter attention. Tous les supports branchés au moment de l'exécution du vaccin seront vaccinés : c'est à dire que les supports pourront être toujours contaminés par certaines variantes, mais que le mécanisme de propagation sera neutralisé, les supports ne pourront infecter d'autres machines. Concrêtement, il s'agira de répertoires-vaccins crées à la racine de tes partitions et supports. Ils contiendront tous un fichier nommé Répertoire vaccin. La manipulation que je viens de te suggérer dans ce post sera à faire sur les systèmes de tes collègues à qui tu as prêté ton HD externe. Cela les mettra à l'abri également. Pour eux, il faudra rajouter une analyse MBAM derrière pour corriger le reste de l'infection. As-tu des questions ? Si tu n'en as pas, nous arrivons au bout là.

Il vaut mieux les installer je pense.

Ok. Très bien Une petite correction à effectuer : Relance un scan HijackThis Clique sur Do a system scan only et coche les lignes ci-dessous : O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing) Ferme toutes les fenêtres sauf HijackThis et Fix Checked. Enfin, si tout va bien, supprime tes points de restauration afin de repartir sur des bases saines. Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci : Nous aurons ainsi fini le côté Nettoyage et remise en état du système. Bien sur, je te recommande, de faire une mise à jour te ton système windows, via windows update. Si tu n'as pas de questions sur ce que l'on vient de faire, je vais te recommander quelques manipulations pour te mettre à l'abri de ce genre de désagréments à l'avenir, et te recommander ce qu'il te faudra faire pour tes collègues probablement infectés.

Bonsoir Tu sembles avoir lancé deux fois ComboFix ? Tu avais rencontré un souci ? Poste moi également l'autre rapport, il se trouve là : C:\ComboFix2.txt

Re Bien, désinstalle toujours les éléments suivants : Adobe Flash Player 10 Plugin Adobe Flash Player 9 ActiveX Adobe Flash Player ActiveX Java™ 6 Update 11 Ce sont des éléments obsolètes qui intropduisent des vulnérabilités sur ton système. Tu pourras télécharger et installer les versions à jour à partir des liens suivants : Java : http://www.java.com/fr/download/index.jsp Flash Player : http://get.adobe.com/fr/flashplayer/ Tu peux t'aider de ce tuto de Malekal Morte pour t'assurer que ce sont bien les versions à jour qui sont détectées : Maintenir Java, Adobe Reader et le player Flash à jour Concernant la ligne dont tu me parles : ça tombe bien, j'allais t'en parler. Tu as une barre d'outil pour Internet Explorer : pdfforge Toolbar Cette barre d'outil est ouverte à débat sur sa confidentialité et l'emploi de données personnelles, en raison d'un module inclus SearchSettings qui est très indiscret et que l'on supprime sans ménagement habituellement. La ligne dont tu me parles, est associée au modèle qui est inclus dans la barre d'outils dont je te parle. Personnellement, je te suggère de désinstaller cette barre d'outils, tout simplement. Mais le choix t'appartient. Tu la trouveras également dans le Panneau Ajout/Suppression de Programmes : pdfforge Toolbar Il faudra m'indiquer ce que tu auras choisi. Si à la suite de ces manipulations tout va bien, reposte un dernier rapport HijackThis que l'on corrige les dernières entrées.

Bonsoir Pas facile de suivre ta désinfection, les rapports ont été supprimés au fur et à mesure. Je vais basculer ton sujet dans la partie "Analyses et désinfections". Nous allons continuer là-bas. Télécharge Combofix depuis l'un des liens ci-dessous. Tu dois le renommer avant de l'enregistrer. Enregistre-le sur ton Bureau. Lien 1 Lien 2 Lien 3 -------------------------------------------------------------------- Fais un double clic sur Combo-Fix.exe & suis les invites. Lorsque l'outil aura terminé, il affichera un rapport. Envoye le contenu de C:\ComboFix.txt .

Bon, en avant. Suppression des outils. Désinstalle via le Panneau Ajout/Suppression de programmes : Navilog1 MBAM : si tu le souhaites. Je te suggère de le conserver cependant. Dans sa version gratuite, il n'y a pas de module résident, mais tu peux toujours continuer à le mettre à jour et à faire des analyses de contrôle. Rends toi dans ton Menu Démarrer > Exécuter et copie-colle : combofix /u Puis valide. Ce sera rapide. Assure toi que les SETUP des différents outils téléchargés soient supprimés (notamment ceux sur ton bureau), ainsi que le fichier CFScript.txt. Assure toi que les fichiers et répertoires suivant soient supprimés : c:\program files\Navilog1 C:\Combb C:\qoobox C:\ComboFix-quarantined-files.txt C:\ComboFix.txt C:\ComboFix2.txt C:\ComboFix3.txt C:\ComboFix4.txt Vide ta corbeille. Pour finaliser le nettoyage, génère ensuite un rapport comme ceci : Relance Hijackthis. Clique sur Open the misc tools sections Clique sur Open uninstall Manager Clique sur Save list Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu ici. Avec ce rapport, indique moi si tu as rencontré des soucis à faire ce que je t'ai demandé.

Impeccable Je reviens poster à la suite pour t'indiquer comment supprimer les outils utilisés.

Ok, ça roule Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela Clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Bon surf !

Re fabe75 Pas de soucis normalement, il ne faut pas tenir compte des éléments affichés dans la fenêtre d'invite de commande. Ce qui compte, c'est ce qui est affiché dans le rapport généré à la fin de l'utilisation de l'outil, indiquant les répertoires et lecteurs vaccins créés.

Re Tu ne m'as pas répondu pour Antivir ? As-tu de nouveau des alertes pour les soucis initiaux ? (normalement non).

Deux pseudos pour un même sujet, vous m'expliquez ?

Re Non, ton souci de souris ne semble pas un souci d'ordre infectieux. C'est curieux, mais cela n'occasionne pas de disfonctionnements du système, cela ne doit pas t'empêcher de supprimer les points de restauration. Sinon, en effet, tu as bien compris.

Re Bien. Tout d'abord, confirme moi que tu avais utilisé l'utilitaire de désinstallation Norton ? D'autre part, génère un rapport comme ceci : Télécharge MsLook.exe, double-clique dessus. Presse une touche à la demande. Cela va travailler très rapidement et le bloc-notes va s'ouvrir, poste le contenu du bloc-notes dans ta prochaine réponse. Dis moi si tu as des soucis avec ta cam ?

Bonjour temacine Rien de grave visiblement. Tous les éléments infectieux détectés sont situés dans tes points de restauration, ils y sont confinés. Tant que tu ne restaures pas, pas de risques d'infections. Si, à part ces détections, tout va bien, tu peux supprimer ces points de restauration, et repartir sur une base saine. Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci : Si par contre, tu as d'autres soucis, il vaut mieux en parler et conserver tes points de restauration, mêmes s'ils sont infectés.

Bonjour Un petit mot pour prévenir que j'ai changé un peu le VaccinUSB.exe disponible sur le lien du tuto. Rien d'exceptionnel dans les changements toutefois. C'est juste un batch compilé. Il n'est plus nécessaire de le copier-coller à la racine des lecteurs à vacciner. Il suffit de double-cliquer dessus, il détectera les différents lecteurs et partitions et vaccinera chacun des volumes. Cela devrait être plus simple d'emploi. La méthode de vaccination a légèrement changée, il ne s'agit plus que d'un répertoire, mais d'un répertoire avec un fichier crée via l'emploi des noms réservés Windows. Chacun des répertoires contiendra donc un fichier con.Repertoire vaccin. Un répertoire était trop faible, en vaccination. Ainsi, aucun répertoire vacciné ne pourra être donc supprimé par une infection active, ou par accident de l'internaute. Les répertoires-vaccins ont toujours les attributs cachés et système, ce qui ne devrait pas gêner la grande majorité des internautes comme ces derniers ne les verront pas Un rapport est généré, à titre indicatif, pour ceux qui le souhaiteraient. Il est stocké en %temp%\rapportVacUSB.txt 31/03/2009 - 8:13:57,98 - Vaccin USB - Gof Lecteur détectés : Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est D022-3F91 Le volume dans le lecteur D s'appelle 070704_1830 Le numéro de série du volume est 3C06-D529 Le volume dans le lecteur E s'appelle RECUP_UX_001 (ERIC) Le numéro de série du volume est 6088-97DC Répertoires et fichiers vaccins : c:\autorun.inf - Vaccin Ok c:\adober.exe - Vaccin Ok c:\copy.exe - Vaccin Ok c:\comment.htt - Vaccin Ok c:\host.exe - Vaccin Ok c:\info.exe - Vaccin Ok c:\msvcr71.dll - Vaccin Ok c:\ravmon.exe - Vaccin Ok c:\ravmon.log - Vaccin Ok c:\sqlserv.exe - Vaccin Ok c:\start.exe - Vaccin Ok c:\temp.exe - Vaccin Ok c:\temp1.exe - Vaccin Ok c:\temp2.exe - Vaccin Ok c:\winfile.exe - Vaccin Ok c:\zPharaoh.exe - Vaccin Ok c:\ntdelect.com - Vaccin Ok e:\autorun.inf - Vaccin Ok e:\adober.exe - Vaccin Ok e:\copy.exe - Vaccin Ok e:\comment.htt - Vaccin Ok e:\host.exe - Vaccin Ok e:\info.exe - Vaccin Ok e:\msvcr71.dll - Vaccin Ok e:\ravmon.exe - Vaccin Ok e:\ravmon.log - Vaccin Ok e:\sqlserv.exe - Vaccin Ok e:\start.exe - Vaccin Ok e:\temp.exe - Vaccin Ok e:\temp1.exe - Vaccin Ok e:\temp2.exe - Vaccin Ok e:\winfile.exe - Vaccin Ok e:\zPharaoh.exe - Vaccin Ok e:\ntdelect.com - Vaccin Ok Examen fonctions Autorun BDR : ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer HonorAutoRunSetting REG_DWORD 0x1 NoDriveTypeAutoRun REG_DWORD 0xff ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf <SANS NOM> REG_SZ "@SYS:DoesNotExist" 31/03/2009 - 8:14:00,23 : Fin. Ainsi, sont listés les lecteurs détectés, les répertoires-vaccins crées, les fichiers antérieurement présents écrasés par les répertoires vaccins, la valeur de différentes clés à interpréter ; ces dernières concernent la fonction "autorun". A titre d'exemple ici, le rapport nous révèle que 3 lecteurs étaient détectés, 2 ont été vaccinés, le D étant le lecteur CD/DVD. Les valeurs sous policies\explorer indiquent que la mise à jour de sécurité corrigeant une vulnérabilité dans la désactivation de l'autorun a été installée (HonorAutoRunSetting), que l'autorun est désactivé par défaut (NoDriveTypeAutoRun REG_DWORD 0xff), que la fonction autorun a été par sécurité désactivée (@SYS:DoesNotExist) - même si l'autorun était réactivé via le registre, la fonction en elle-même est inactive, le fichier autorun.inf est ignoré sur tous supports. ------------ Si pour une raison ou une autre vous désirez supprimer les répertoires vaccins : delVaccinUSB.exe

Bonjour Un petit mot pour prévenir que j'ai changé un peu le VaccinUSB.exe disponible sur le lien du tuto. Rien d'exceptionnel dans les changements toutefois. C'est juste un batch compilé. Il n'est plus nécessaire de le copier-coller à la racine des lecteurs à vacciner. Il suffit de double-cliquer dessus, il détectera les différents lecteurs et partitions et vaccinera chacun des volumes. Cela devrait être plus simple d'emploi. La méthode de vaccination a légèrement changée, il ne s'agit plus que d'un répertoire, mais d'un répertoire avec un fichier crée via l'emploi des noms réservés Windows. Chacun des répertoires contiendra donc un fichier con.Repertoire vaccin. Un répertoire était trop faible, en vaccination. Ainsi, aucun répertoire vacciné ne pourra être donc supprimé par une infection active, ou par accident de l'internaute. Les répertoires-vaccins ont toujours les attributs cachés et système, ce qui ne devrait pas gêner la grande majorité des internautes comme ces derniers ne les verront pas Un rapport est généré, à titre indicatif, pour ceux qui le souhaiteraient. Il est stocké en %temp%\rapportVacUSB.txt 31/03/2009 - 8:13:57,98 - Vaccin USB - Gof Lecteur détectés : Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est D022-3F91 Le volume dans le lecteur D s'appelle 070704_1830 Le numéro de série du volume est 3C06-D529 Le volume dans le lecteur E s'appelle RECUP_UX_001 (ERIC) Le numéro de série du volume est 6088-97DC Répertoires et fichiers vaccins : c:\autorun.inf - Vaccin Ok c:\adober.exe - Vaccin Ok c:\copy.exe - Vaccin Ok c:\comment.htt - Vaccin Ok c:\host.exe - Vaccin Ok c:\info.exe - Vaccin Ok c:\msvcr71.dll - Vaccin Ok c:\ravmon.exe - Vaccin Ok c:\ravmon.log - Vaccin Ok c:\sqlserv.exe - Vaccin Ok c:\start.exe - Vaccin Ok c:\temp.exe - Vaccin Ok c:\temp1.exe - Vaccin Ok c:\temp2.exe - Vaccin Ok c:\winfile.exe - Vaccin Ok c:\zPharaoh.exe - Vaccin Ok c:\ntdelect.com - Vaccin Ok e:\autorun.inf - Vaccin Ok e:\adober.exe - Vaccin Ok e:\copy.exe - Vaccin Ok e:\comment.htt - Vaccin Ok e:\host.exe - Vaccin Ok e:\info.exe - Vaccin Ok e:\msvcr71.dll - Vaccin Ok e:\ravmon.exe - Vaccin Ok e:\ravmon.log - Vaccin Ok e:\sqlserv.exe - Vaccin Ok e:\start.exe - Vaccin Ok e:\temp.exe - Vaccin Ok e:\temp1.exe - Vaccin Ok e:\temp2.exe - Vaccin Ok e:\winfile.exe - Vaccin Ok e:\zPharaoh.exe - Vaccin Ok e:\ntdelect.com - Vaccin Ok Examen fonctions Autorun BDR : ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer HonorAutoRunSetting REG_DWORD 0x1 NoDriveTypeAutoRun REG_DWORD 0xff ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf <SANS NOM> REG_SZ "@SYS:DoesNotExist" 31/03/2009 - 8:14:00,23 : Fin. Ainsi, sont listés les lecteurs détectés, les répertoires-vaccins crées, les fichiers antérieurement présents écrasés par les répertoires vaccins, la valeur de différentes clés à interpréter ; ces dernières concernent la fonction "autorun". A titre d'exemple ici, le rapport nous révèle que 3 lecteurs étaient détectés, 2 ont été vaccinés, le D étant le lecteur CD/DVD. Les valeurs sous policies\explorer indiquent que la mise à jour de sécurité corrigeant une vulnérabilité dans la désactivation de l'autorun a été installée (HonorAutoRunSetting), que l'autorun est désactivé par défaut (NoDriveTypeAutoRun REG_DWORD 0xff), que la fonction autorun a été par sécurité désactivée (@SYS:DoesNotExist) - même si l'autorun était réactivé via le registre, la fonction en elle-même est inactive, le fichier autorun.inf est ignoré sur tous supports. ------------ Si pour une raison ou une autre vous désirez supprimer les répertoires vaccins : delVaccinUSB.exe

Bonjour Borman Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email Tout d'abord, corriger le boot.ini pour rajouter le choix du mode sans échec ne le restaurera pas. L'entrée dans le boot.ini n'est qu'une sorte de raccourci qui s'affichera au démarrage du PC. Ce sont les clés dans la Base de Registre qui ont été neutralisées par l'infection. De plus, si l'infection est encore active, il ne sera pas possible de le rétablir. Tu évoques un tuto ; de quel tuto s'agit il ? Peux tu m'en copier-coller le lien ? Je vais te demander comment tu as traité l'infection (si c'est sur un autre forum, indique moi le lien), avec quels outils, etc.

Bonjour vincmoh Tu peux conserver tes outils, tu ne sembles pas être obligé d'être contraint à effectuer la procédure complète. Il s'agit de détections dans tes points de restauration. En l'état, l'infection n'est pas dangereuse, elle est confinée aux points de restauration : tant que tu ne restaures pas, pas de soucis. Si ce sont les seuls éléments détectés, que ton PC ne présence aucun souci d'autre nature, tu peux procéder à la suppression des points de restauration de la manière suivante : Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci : EDIT : je fusionne les sujets.

Bonjour siburg Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement Ton rapport ne révèle pas grand chose. Peux tu poster les rapports Antivir et SUPERAntiSpyware ? A ces rapports, joins un autre généré comme ceci : Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Bonjour fabe75 Oui, cela revient en effet au même que supprimer manuellement le fichier en invite de commande, ou via le petit utilitaire 2clic. Un fichier autorun.inf n'est pas en soi dangereux, il contient juste le chemin d'un programme à exécuter lorsqu'il est interprété. Si l'antivirus traite le véritable fichier infectieux à l'insertion d'une clé, le fichier autorun.inf indique un chemin qui n'existe plus. D'où le message d'erreur à l'ouverture du support, et ce qui empêche parfois d'accéder au lecteur. Le simple fait de supprimer ce fichier sur la clé (désinfectée) permet d'y accéder à nouveau convenablement. Ce n'est pas évident. Il faudrait savoir quels sont les systèmes sur ces différents postes, quels sont les autorisations des comptes, tout le monde peut-il y brancher un support, etc ? Je maîtrise mal cet aspect des choses : je saurais te répondre pour un poste "particulier", mais dans le cas d'un réseau d'un établissement scolaire, le souci n'est plus le même.

Bonjour verseau Ca va être difficile de t'aider. L'origine des soucis n'est vraisemblablement pas d'origine infectieuse. Ton windows n'est apparemment pas à jour, sans doute qu'il n'est pas officiel. Du coup, les bugs rencontrés sont difficilement maîtrisables et "expliquables". N'as-tu pas un point de restauration antérieur à ton changement de fond d'écran ?

Bonjour Pimkiminy Bon. On s'éloigne de la désinfection pour arriver sur l'optimisation là. Tu as encore des restes de l'éditeur Symantec, je suppose que tu as désinstallé Norton. Tu as également beaucoup de barre d'outils pour Internet Explorer. L'accumulation ne peut qu'engendrer des ralentissements importants, pour un confort tout relatif (te sont-elles vraiment utiles ?). Tu as également quelques softs qui se lancent automatiquement au démarrage de windows, sans doute non plus pas très utile. Le tout cumulé aux softs de P2P ; l'accumulation de tout ça doit occasionner peut-être pas mal de ralentissements. Je peux te proposer une optimisation rapide, mais ce sera drastique Je n'aime pas les barres d'outils et les softs de P2P notamment.

Bonjour avilug Navré des délais, j'ai eu peu de disponibilité ces jours derniers. Bien, la procédure a semble-t-il bien fonctionné. Tes différentes partitions et supports étaient infectés en effet par l'infection se propageant par supports amovibles. Regarde : E:\Autorun.inf E:\recycler\Desktop_.ini E:\s39tg.cmd H:\Autorun.inf H:\s39tg.cmd I:\Autorun.inf I:\s39tg.cmd J:\Autorun.inf J:\s39tg.cmd K:\Autorun.inf K:\s39tg.cmd A quoi correspond ton lecteur E ? Le HD dont tu me parles ? Tu ne devrais plus en l'état te réinfecter. Je souhaiterais que tu me génères à présent un nouveau rapport MBAM et que tu me le postes à la suite. Je souhaiterais également que tu m'indiques si Antivir t'a de nouveau alerté depuis que l'on a traité les différents lecteurs. Oui et non. Si l'infection est active, elle modifie généralement l'affichage des fichiers et dossiers cachés, de sorte que l'utilisateur ne les voit pas. Ainsi, le fichier autorun.inf et le fichier véritablement infectieux ne se voient pas dans l'explorateur windows. De plus, si l'infection est active, elle se copiera-collera automatiquement sur tous les supports branchés. Je crains que tu ne te fasses engueuler Il est très fortement probable que le lecteur que tu leur as prêté les ait infecté. Je te donnerais, lorsque nous aurons fini, une méthode type qui devrait suffire à traiter les soucis.