oGu

Salut! Le Remover Norton se charge de fermer les services, puis supprime les fichiers et les clés de regsitre au reboot. Il est assez efficace. A+

Salut! Oui, bien sûr! Vu que ZebUtility modifie des clés de registre, un antivirus de mauvaise qualité peut réagir et considérer ZU comme un malware potentiel.

Possible...dans le doute, on va désinfecter ton PC de vers USB et le vacciner (sinon j'attends toujours les scans demandés !) Important: tant que tu n'as pas passé ces eux outils, pour ouvrir tes disques externes, clés USb, carte Flash, disques durs internes etc..., ne double-clique pas dessus: clique-droit sur leur icone et choisis "explorer", cela empêchera le virus de se lancer pour se reproduire. Flash Disinfector Télécharge Flashdisinfector de sUBs sur ton bureau. Branche tes supports amovibles, démarre les (disques dur externes, clés USB, carte Flash par exemple) pour ceux qui le devraient Double-clique sur Flash_Disinfector.exe. Cela sera très rapide, un message t'informera de la fin du fix. Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouverts à ce moment la. Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une. On va maintenant vacciner ton PC contre les malwares de cette famille: VaccinUSB Télécharge VaccinUSB (qui en est le créateur?? C'est toi Gof??) ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!! Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB Double-clique dessus -----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus. Tu peux faire la même opération sur tes clés USB/cartes Flash et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant.

Salut! DESINSTALLER NORTON Télécharge cette version de Norton Removal Tool sur ton bureau Lance-le Suis les instructions Redémarre l' ordinateur Attention: si tu disposes d'autres logiciels Norton que tu souhaites conserver (Norton Utilities, Norton GHOST, Norton Commander...), n'exécute pas cette procédure car le remover dégage tout ce qui vient de Norton/Symantec.

Yep! Il faudrait savoir si Lordraven dispose d'un hosts, ou d'un proxy filtrant comme Proxomitron ou SpyBlocker. S'il a un hosts, il faudrait vérifier que c'est bien les serveurs Akamaï qui posent problème, puis les supprimer du hosts en éditant ce dernier. NOD32 dispose effectivement d'un filtre Web, qui permet, à la manière d'un hosts, de bloquer certains sites, mais la liste est vide par défaut, faudrait y jeter un oeil pour voir: pour y accéder: "Configuration", "Configuration avancée", onglet "Protection de l'accès Web": Je n'ai aucun problème à me connecter sur le site Logitech malgré mon NOD32.

Yo! Une piste: Akamaï est souvent bloqué par des hosts très restrictifs, comme celui de Tesgaz.

Nickel! Bon...Pourtant le log Hijackthis indique que ta version n'est pas à jour, mais on va faire confiance à l'installeur Java plus qu'à HJT. C'est pas la première fois que la version de leur updater ne correspond pas à la version installée. Impecc'! Shoote-les si ce n'est déjà fait. C'est sans danger de toute façon. Tant mieux, c'est jamais rassurant quand MBAM couine sur un fichier! AVP TOOL ne s'installe pas dans le menu "démarrer": en fait on l'utilise pour scanner/nettoyer, puis on le vire! C'est un antivirus intérimaire ManPower avec contrat précaire, on le supprime sans gratitude une fois qu'il a fait le taff ! Prend ton temps pour le scan, plus rien ne presse maintenant. A+

Salut Félix le Chat! Merci de ton passage, éclairant comme à chaque fois! Ogu

Salut! Il semblerait que DB-AFD corresponde à des logiciels DATA BLECKER. A toi de voir s'il t'es utile au démarrage.

Bonjour Petit Pain! Ton log ne montre rien d'infectieux ! Quelques détails néanmoins: on va les régler, puis on terminera la désinfection. Ensuite, on sécurisera ta machine pour éviter de nouvelles infections, si tu es d'accord. IE 7 Il faut mettre Internet Explorer à jour, tu tournes encore avec la version 6 qui est le plus mauvais navigateur de la création! Et ce, même si tu utilises Firefox, car certains logiciels utilisent encore IE (par xemple Windows Media Player), et les mises à jour XP se font via IE. Télécharge IE7 en cliquant sur l'image, puis installe-le: MISE A JOUR de JAVA Java est un élément essentiel pour la navigation, et il est souvent mis à jour pour corriger ses vulnérabilités. Ta version est obsolète: Dans ton Panneau de Configuration, clique sur l'icône JAVA Dans la fenêtre qui s'ouvre, clique sur l'onglet "Mise à jour" Clique en bas sur "Mettre à jour maintenant" et laisse l'update s'installer HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes si elles existent: R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) Ferme tes navigateurs internet (ex: Firefox et Internet Explorer) Clique en bas sur "Fix checked" Redémarre On termine avec des scanners: EWIDO Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image: Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Connecte éventuellement tes clés USB et disques externes. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport. MALWAREBYTES ANTIMALWARE (MBAM) Télécharge Malwarebytes Antimalware en cliquant sur cette image: Installe-le puis lance-le Connecte éventuellement tes clés USB et disques externes. Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter une analyse approfondie" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le AVP TOOL de Kaspersky Télécharge et enregistre sur ton bureau la version la plus récente d'AVP TOOL (sélectionne-le à partir des dates) en cliquant sur cette image: Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus Répond "Oui" à la question "Do you want to continue installation?" Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton bureau dans un dossier nommé "Kaspersky Lab Tool" Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...) L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan". Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image: Valide avec "Apply" puis "OK" L'outil est maintenant configuré: dans la fenêtre principal, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage. A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre: Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK" Rend-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events" Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton bureau sous le nom Rapport AVP TOOL Poste le contenu du rapport dans ta prochaine réponse

Yo! On ne peut pas désinstaller le pare-feu XP, mais on peut effectivement le désactiver: http://www.infoprat.net/astuces/windows2k_...ecurite_005.php

Dr Antivirus, tu ne sais pas de quoi tu parles: merci de ne pas interférer dans nos sujets en cours, surtout pour proposer une méthode alternative...sur un Bagle déjà supprimé! Si les désinfections t'intéressent, commence par apprendre à analyser un log + les rudiments, et ensuite on verra.

A priori, par défaut, le firewall Vista n'est pas bidirectionnel, à ma connaissance, mais je tourne sous XP...Il faut activer la fonction "flux sortants" pour qu'il devienne complet. L'avais-tu activer? Ou bien via un tweaker quelconque? Google devrait t'indiquer comment activer cette option, même s'il semble qu'elle le soit déjà sur ta machine.

De toute façon j'ai l'impression que tu es sérieux et que ta machine est déjà bien protégée, ne t'en fais pas trop pour ces histoires d'hardening!

OK, c'est suffisant néanmoins pour voir que Bagle a été liquidé. Avant que j'attaque l'analyse du log HijackThis, peux-tu s'il te plaît essayer de redémarrer en mode sans échec comme indiqué ici, puis me signaler si cela a fonctionné: Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. ATTENTION: Démarre en sans échec exclusivement avec cette méthode, et pas avec une autre Si à la première tentative, cela ne réussit pas, n'insiste pas et viens me le signaler.

Si les réglages ont déjà été appliqués, inutiles de faire un regshot maintenant, il aurait fallu avoir l'idée avant d'utiliser HardenIT. Bof...dès l'instant qu'il faut redémarrer après application des réglages, Returnil perd de son utilité dans ce cas précis...

Mais ça aporte quoi de plus qu'une simple session limitée? Quel intérêt de lancer Paint, OpenOffice, ou HijackThis avec des droits restreints? Bref! Oui, HardenIt ne permet pas de vérifier si les réglages ont fonctionné, et si tu l'as lancé en droits restreints, je serais surpris qu'il ait pu bricoler le regsitre tranquillement...Faut aller voir directement dans la BDR. Si les valeurs sont différentes, c'est normal: il n'y a pas de valeur "type" vraiment préférable à une autre, cela peut varier, mais dans tous les cas de figure, les réglages renforcent la sécurité, surtout contre certains types d'attaques. Pour le NTFS, c'est plus sécurisé, mais rien n'oblige à ne pas rester en FAT32, surtout si tu n'as pas dans l'idée de tripoter les restrictions.

Salut leminou! As-tu réglé le firewall Vista en bi-directionnel? Si oui, de mon point de vue, ce doit être suffisant.

Et ELiBagla?

Mise à jour automatique des logiciels Macrovision: tu peux autoriser.

A la fois si t'es par là, on peut commencer tout de suite, les pop-corns attendront !! ELIBAGLA Télécharge ELIBAGLA (j'ignore qui est l'auteur de ce tool...) en cliquant sur cette image: Double-clique dessus pour l'ouvrir Assure-toi que dans le menu déroulant Unidad, tu ais bien C:\ Vérifie aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée Cliquez sur le bouton Explorar pour lancer l'analyse Le fix va redémarrer ton PC s'il trouve des restes de Bagle puis créer un rapport: il se trouve ici > C:\InfoSat.txt. Poste-le dans ta prochaine réponse. HIJACKTHIS Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image: Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la licence en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Aucune astuce: il faut connaître son système, les clés de registre, et savoir à quoi cela correspond pour opérer un choix...C'est tout le problème de ces types de modules, comme le Tea-Timer, ou les HIPS pour ceux qui veulent aller encore plus loin: c'est très efficace, à condition que l'utilisateur soit formé. A priori, si tu n'as pas eu de message d'erreur, c'est que tout va bien. Si vraiment tu veux en être convaincu, rend-toi dans ce dossier: C:\Windows\system32\drivers\etc Là, ouvre avec ton bloc-note le fichier nommé hosts: si ce dernier compte plusieurs milliers de lignes, c'est que c'est ok, car le hosts par défaut est quasi vide (quelques lignes seulement) Oui, il ne s'installe pas (on peut donc le transporter sur clé USB par exemple) et a besoin d'une connection pour importer sa base de définition virale. Oui, il marche en sans échec, et son usage est enfantin !

On n'a pas touché à l'historique, normalement il devrait être présent: pour le régler: clique en haut de Firefox sur "outils", puis "options", puis "vie privée": là, tu trouveras le réglage de l'historique. Pour effacer l'historique: "outils", clique sur "effacer mes traces"

Salut! Je n'ai pas pu te prendre en charge aujourd'hui, navré! S'il te plaît ne fais encore rien, je te guiderai demain sur la marche à suivre, même si l'installation d'Antivir est un bon point (et la preuve que Bagle a été détruit). Il ne faut pas supprimer Qoobox, qui est un dossier installé par ComboFix et qui pourrait nous être utile. A demain pour la suite des aventures !

http://forum.sysinternals.com/forum_posts.asp?TID=8748