oGu

Alors efface Zigstack et télécharge HardenIt. Installe-le, lance-le et sélectionne, à chaque fois, soit l'option "Recommended" soit l'option "Workstation", selon ce qui est proposé. A la fin de l'opération, rentre un nom et une adresse mail bidon (genre azertyuiop@yahoo.de), valide avec "Finish" et redémarre. Ne tchattes-tu pas avec MSN, ou mIRC, ou équivalent?

Re! Prend soin de ne pas citer à chaque fois mon message précédent quand tu réponds, cela alourdit la lecture des posts: en bas du message, au moment de répondre, clique sur le second bouton "Répondre", pas sur le premier: INSTALLER UN HOSTS AVEC HPHOSTS Télécharger le logiciel hpHosts en cliquant sur cette image: Installer-le en cliquant successivement sur "next" puis "install" Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)" Redémarrer OTMOVEIT Télécharge OTMoveIt sur ton bureau Double clique sur OTMoveIt.exe Sélectionne et copie la ligne ci-dessous C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT7.tmp Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller". Clic sur le bouton rouge MoveIt Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes" Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles) TOOLBARS ! Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens: La Yahoo! Toolbar analysée par Assiste Les toolbars, c'est pas obligatoire ! (by Malekal) Tiens, voilà les conditions d'utilisation de la toolbar Google: Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement... Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit: DESINSTALLATION de BASE Ouvre Firefox Choisir Outils, puis Modules complémentaires Chercher le module Google Toolbar et cliquer sur Désinstaller Même chose pour la Yahoo! Toolbar et éventuellement, si elle apparaît, la Windows Live Toolbar Redémarrer Firefox Ouvre Internet Explorer Choisir Outils. Cliquer sur Gérer les modules complémentaires Chercher le module Google Toolbar ou équivalent et désactive-le Même chose pour la Yahoo! Toolbar et éventuellement, si elle apparaît, la toolbar Windows Live Redémarrer Internet Explorer Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration Même chose pour la Yahoo! Toolbar et la toolbar Windows Live si elle apparaît. HIJACKTHIS Poste un nouveau rapport s'il te plaît! RAPPORT ANTIVIR Paramètre Antivir à partir de ce tuto de Falkra Puis paramètre le scan comme suit: Paramètres conseillés Clic droit sur le parapluie->Configure Cliquer Expert mode->Scan: Cocher: All files Additionnal Settings:tout cocher Clic sur scan + Action for concerning files:Cocher copie file to quarantine before action Primary action...................: repair => au cas ou ce serait un fichier système corrompu Secondary action.................: delete => s'il y a détection, autant supprimer. une sauvegarde sera dans la quarantaine Puis Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Connecte éventuellement tes clés USB et disques externes. Puis lance un scan Antivir et supprime tout ce qu'il te trouve. Poste le rapport qu'Antivir va générer EWIDO Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image: Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Connecte éventuellement tes clés USB et disques externes. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport. MALWAREBYTES ANTIMALWARE (MBAM) Télécharge Malwarebytes Antimalware en cliquant sur cette image: Installe-le puis lance-le Connecte éventuellement tes clés USB et disques externes. Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter une analyse approfondie" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Nota: pourquoi es-tu à nouveau infectée, quelques semaines après que Thanos t'ai pris en charge? Sois un peu prudente avec ton PC !!! Les infections ne tombent pas du ciel, elles sont la conséquence de mauvaises pratiques de l'utilisateur: peer-to-peer, utilisation de cracks, visites de sites pornos infectés, clics sans réflexion sur des liens via MSN, installation de logiciels piégés,...

Ta machine est à nouveau saine, sois prudent maintenant!! Quelques règles de base à respecter en sécurité: je mets à jour mon XP avec Windows Update j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks. ne jamais télécharger n'importe quoi sans se renseigner ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assite tient une liste à jour: La Crapthèque j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal je me méfie des sites X (et des sites de cracks et warez), très souvent piégés. je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés. ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles. je me méfie des mails que je reçois je ne connecte pas mes clés USB n'importe où je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes je sauvegarde les données perso régulièrement, sur DVD ou disque externe la première cause d'infection est le manque de prudence et de discernement de l'internaute je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi. NETTOYER LES POINTS DE RESTAURATION Aller dans le menu "Démarrer" Cliquer droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs". Cliquer sur "Appliquer." Lorsque le message de confirmation apparaît, cliquer sur "Oui" Cliquer enfin sur "OK". Redémarrer Puis: Aller dans le menu "Démarrer" Cliquer droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs". Cliquer sur "Appliquer." Lorsque le message de confirmation apparaît, cliquer sur "Oui" Cliquer enfin sur "OK". DESINSTALLER AVP TOOL Ferme AVP TOOL s'il était lancé Ouvre le dossier "Kaspersky Lab Tool" que tu avais enregistré sur ton bureau Double-clique sur le fichier "Unins000" Répond "Oui" à la question posée par l'outil Ferme tout ce que tu étais en train de faire (documents textes, navigateurs, etc...) Répond "Oui" à la demande : "Would you like to restart now?" afin de redémarrer l'odinateur. DESINSTALLER COMBOFIX Clique sur Démarrer, puis sur Exécuter Tape combofix /u et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important SUPPRESSION DES LOGICIELS DE DESINFECTION et des Backups Télécharge Tools Cleaner de A.Rothstein sur ton bureau Clique sur "rechercher" Clique sur "suppression" Ferme Tools Cleaner et efface-le FERMER LES PORTS Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon Télécharge le logiciel ZebProtect Suis le tuto de ]Tesgaz RENFORCER LE REGISTRE Explications: par défaut, le regsitre de Windows n'est pas optimisé pour combattre certains risques sécuritaires: en renforçant le registre avec un peu de "hardening" (= création et modifications de clés), on sécurise le système contre certaines attaques ciblées. Un logiciel automatise ces modifications (qui sont dangereuses et difficiles à faire à la main): ZigStack Télécharge le logiciel ZigStack Décompresse l'archive sur ton bureau et ouvre le dossier "bin". Clique sur l'executable Zigstack. Clique en bas sur "select all" puis sur " set hardening". Redémarre. Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite). Si oui tu peux supprimer Zigstack de ton PC. SECURISER TA BOX Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée. PROTEGER LA MESSAGERIE et ton logiciel de TCHAT Peux-tu me dire quelle est ton client de messagerie (Outlook, Thunderbird...) et de tchat? NETTOYER LES FICHIERS TEMPORAIRES Explications: les fichiers temporaires, en plus d'avoir une utilité limitée dans le temps, sont un emplacement privilégié pour les droppers et virus. Il faut donc les supprimer de temsp à autres avec CCleaner. LanceCCleaner Slim régulièrement: Clique sur l'onglet "Nettoyeur" Clique sur le bouton "Lancer le nettoyage" Clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents EWIDO & MALWAREBYTES ANTIMALWARE Garde ces deux antispywares gratuits et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport. VACCINER SON PC CONTRE LES INFECTIONS de CLES USB Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB Télécharge VaccinUSB de Gof ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!! Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB Double-clique dessus -----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus. Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant. ANTIVIR, KERIO et WINDOWS DEFENDER Paramètre Antivir en suivant ce tuto si ce n'est déjà fait: http://www.libellules.ch/tuto_antivir.php Prend soin de bien paramétrer au maximum les modules suivants: Clic droit sur le parapluie Choisis Configure Clique sur Expert mode puis Scan: là, configure Antivir comme suit: Cocher: All files Additionnal Settings:tout cocher Clic sur scan + Action for concerning files:Cocher: copie file to quarantine before action Primary action...................: repair => au cas ou ce serait un fichier système corrompu Secondary action.................: delete => s'il y a détection, autant supprimer. Une sauvegarde sera dans la quarantaine Installe ensuite Windows Defender: ce n'est pas le meilleur antispy résident, mais en gratuit le choix est très limité. Tuto WinDefender par MALEKAL Si tu te sens d'attaque, essaie d'installer et de régler/utiliser le pare-feu Kerio, plus performant que celui de XP: Tuto de Malekal Si t utrouves ça trop ardu, il vaut mieux se contenter du firewall XP par défaut. XP ANTISPY Télécharge et installe XP Antispy Lance-le, clique en haut sur "Profil: recommandé" puis sur "Appliquer les changements". DEFRAGMENTATION Si tu ne disposes pas de ton propre défragmenteur (autre que celui de Windows, qui est peu efficace): Télécharge et installe JKDefrag Lance-le et laisse-le défragmenter ta machine (cela peut prendre du temps)

Ok. Supprime à la main ce dossier: C:\Program Files\Crawler DESINSTALLER AVP TOOL Ferme AVP TOOL s'il était lancé Ouvre le dossier "Kaspersky Lab Tool" que tu avais enregistré sur ton bureau Double-clique sur le fichier "Unins000" Répond "Oui" à la question posée par l'outil Ferme tout ce que tu étais en train de faire (documents textes, navigateurs, etc...) Répond "Oui" à la demande : "Would you like to restart now?" afin de redémarrer l'odinateur. Puis poste un rapport HijackThis STP.

Tu as installé Spyware Terminator? Si oui, tu as activé leur module Security Guard (ou un truc du genre!) qui active en fait une toolbar néfaste...Désinstalle Spyware Terminator, redémarrer puis poste un nouveau rapport HijackThis et un nouveau rapport MBAM please!

Arf, normal, j'ai mis deux fois "Program Files"dans le chemin... J'ai édité mon message précédent pour corriger.

Salut à tous! J'allais intervenir dans le sens de jacmanou NE PAS créer de créer de clé de regsitre pour IE, de manière à ne pas automatiser la restriction des droits pour son exécutable (iexplore.exe), afin de permettre les MAJ Windows Par contre, on peut créer un RACCOURCI spécial pour surfer avec IE: ce raccourci restreindrait les droits d'IE uniquement lors du surf, et pas en cas de mise à jour du système. Voici le chemin du raccourci pour XP : StripMyRights.exe /L N "C:\Program Files\Internet Explorer\iexplore.exe edit: correction du chemin

C'est prévu t'en fais pas ! A demain.

Les xxxx sont à remplacer par une série de chiffres, mais comme elle change à chaque fois...Télécharge la dernière version sur ton bureau, double-clique dessus, et l'outil se lance tout seul ensuite. Euh...non!!

En général, en protection divers, je mets plutôt un pull ou une bonne laine polaire, surtout au ski, avec un bonnet et des gants. Un firewall réglé à fond pour ne rien laisser passer, c'est pas assez chaud et ça coupe pas du vent.

C'est ça. SMR se lance quand tu lances ton navigateur ou toute appli protégée, puis il se ferme. IL apparaît subrepticement dans le gestionnaire des tâches, une ou deux secondes maxi. Après, il agit en sous-marin sans consommer aucune ressources, vu qu'il agit sur les autorisations. Avec un bon HIPS, tu peux analyser son activité à partir des journaux: exemple avec un log ProSecurity: On distingue bien que, en lançant Firefox via son raccourci (qui se trouve dans mon launcher dock, Rocket Dock), StripMyRights?exe s'active, et dans la même seconde (c'est dire s'il est silencieux et rapide!), il lance à son tour Firefox en ayant pris soin de lui retirer ses droits administrateurs. Du coup, le plus simple, c'est effectivement de faire les tests de l'image et du downloader pour s'assurer que tout fonctionne. Sans problème!

Lance WMP et regarde quel est l'exe dans le gestionnaire des tâches !

Yo! Tu es infecté par un Bot SD, qui peut être le responsable du spamming. Tu peux m'en dire plus et me donner le lien? DESACTIVER le TEA-TIMER Ouvre Spybot Va dans le Menu "Mode" --> "Mode avancé" Confirme en cliquant sur le bouton "Oui". Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident" Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central : Résident "TeaTimer" (Protection des réglages système fondamentaux) actif. SDFIX Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec. Télécharge sauvegarde sur ton Bureau SDFix (créé par AndyManchesta), en cliquant sur cette image: Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix ) Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum Si Sdfix ne se lance pas (ça arrive!) Démarrer->Exécuter Copier/coller ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe Cliquer ok, et valider. Redémarrer et essayer de nouveau de lancer Sdfix. HIJACKTHIS Poste un nouveau rapport s'il te plaît!

Yo! Tu peux les mettre tous dans un seul fichier. Dans ce cas le .reg doit avoir ce modèle: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe] "Debugger"="StripMyRights.exe /D /L N" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe] "Debugger"="StripMyRights.exe /D /L N" L'indication Windows Registry Editor Version 5.00 ne doit apparaître qu'une seule fois, en début de code. "StripmyRightiser "IE empêche naturellement les mises à jour de XP: ces dernières ont besoin d'avoir les droits d'administrateur pour patcher/remplacer/ajouter des fichiers dans les dossiers système: or, SMR restreignant les droits, IE ne serait plus en mesure de faire ce qu'il doit faire. Néanmoins, et c'est important, il est inutile de "désactiver, voire supprimer la ligne de code" (dixit) si tu nas pas préalablement...fusionné cette clé! Pour faire simple: sans clé de registre créée par l'utilisateur, SMR n'est pas opérant: le simple fait de copier-coller l'exécutable SMR dans C:\Windows\System32 ne protège rien du tout, il faut impérativement créer une clé pour activer la protection. Bref: si tu installes SMR et que tu n'as pas créé de clé de registre spécifique à IE, les maj marcheront sans problème. Eventuellement MSN ou Windows Live ou un client IRC comme mIRC. Sur des forums de pays dans lequel le peer-to-peer est légal, j'ai eu des retours de StripMyRightisation réussies de softs comme µTorrent: cela peut être une idée pour les parents d'ados impossibles à raisonner concernant le peer-to-peer et ses dangers viraux. On peut également envisager de restreindre en droits des softs multimédias qui ont parfois besoin de se connecter pour lire et diffuser certains contenus, comme c'est le cas pour WMP (testé chez moi, ça fonctionne impecc') ou VLC. Pour tes propositions de SMRisation d'applis bureautiques Office, tu peux essayer (il suffit de savoir quel est l'.exe à intégrer dans le .reg), mais cela me semble inutile: Il est préférable et suffisant de contrôler ces softs via le pare-feu, en leur interdisant l'accès au Net par exemple Sachant que les softs de traitement de texte n'importent rien d'internet, il n'est pas impératif de restreindre leurs droits L'essentiel, c'est de sécuriser le navigateur autre que IE, le client de messagerie, le client de Tchat et d'IRC, le downloader, voire certains softs multimédia, et le peer-to-peer pour les insconscients qui refusent bêtement de se passer de ce type de pratique (ou qui utilisent le protocole Torrent pour télécharger des fichiers volumineux tels les ISO Linux)

CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : KillAll:: File:: C:\WINDOWS\system32\kaesewhq.dll C:\WINDOWS\system32\xfcrqlah.dll Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Je-Rom, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) AVP TOOL by Kaspersky Télécharge et enregistre sur ton bureau la version la plus récente d'AVP TOOL (sélectionne-le à partir des dates) en cliquant sur cette image: Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus Répond "Oui" à la question "Do you want to continue installation?" Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton bureau dans un dossier nommé "Kaspersky Lab Tool" Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...) L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan". Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image: Valide avec "Apply" puis "OK" L'outil est maintenant configuré: dans la fenêtre principal, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage. A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre: Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK" Rend-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events" Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton bureau sous le nom Rapport AVP TOOL Poste le contenu du rapport dans ta prochaine réponse

Ben ouais! Me donner le rapports ComboFix demandé au post #46 !

Yo! J'ai suivi ta discussion sur l'autre fil: on va voir si on trouve quelque chose: HIJACKTHIS Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image: Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la licence en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Yep c'est ça ^^!

C'est Customize Google qui met sa liste de suggestions ! C'est vrai que c'est pénible... Lance Firefox Dans le menu en haut clique sur "outils" puis "modules complémentaires" Cherche Customize Google dans la liste et double clique dessus Coche/Décoche les cases comme indiqué sur les images: Valide avec "ok" Redémarre Firefox et dis-moi si les suggestions ont disparu. J'attends la suite!

Oui!

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Yo Dydeline! J'ai vu que tu as retrouvé le son: tant mieux! Les collègues hardware font vraiemnt du bon boulot. Ton PC est-il fonctionnel maintenant? Je t'envoie prochainement un post de sécurisation. Bon WE.

De retour! Merci de ta patience. Ok, tout va bien du côté des rootkits donc! Les rapports Antivir et HijackThis sont également bons: plus d'infection! REGLAGES On va virer de ton démarrage les logiciels inutiles avec HijackThis: beaucoup de softs s'installe au démarrage sans raison, juste pour marquer leur territoire...Du coup cela surcharge ton démarrage, puis ta machine. Un XP en bonne santé devrait démarrer en moins d'une minute. Comme c'est TOI qui utilises ta machine, je vais te donner mon point de vue sur les choses à désactiver et tu opéreras un choix personnel à la lumière de celui-c. Nota: HijackThis ne supprime rien, il ne fait que désactiver le lancement automatique. Pas de crainte donc, tes logiciels continuent à être fonctionnels même si tu les "fixes" avec Hijackthis. Tout ce qui est entrepris avec HijackThis est réversible: si tu changes d'avis, on peut restaurer facilement les clés supprimées. O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Cette entrée permet de démarrer Office en même temps que XP: inutile, car si tu ne te sers pas d'Office, le logiciel tourne pour rien en tâche de fond. Tu pourras le démarrer comme n'importe quel autre logiciel, via son raccourci. O4 - HKCU\..\Run: [HijackThis startup scan] C:\Program Files\Trend Micro\HijackThis\HijackThis.exe /startupscan Démarrage auto d'HijackThis. Sans intérêt. O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe Démarrage auto de ton logiciel d'images. Mêmes remarques que pour Office. O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background Démarrage auto de ton MSN Messenger. Mêmes remarques que pour Office et FinePix Viewer. O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO Permet à CCleaner de nettoyer ton PC à chaque démarrage. Inutile, tu pourras le lancer à la main seulement quand c'est nécessaire (en fin de journée par exemple). O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe Module absolument inutile de Nero. Fonctionne aussi bien sans... O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay Démarrage auto de ton logiciel de clônage de DVD. Mêmes remarques que pour Office, MSN et FinePix Viewer. O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized AVG Antispy est un bon produit, mais il va bientôt disparaître: si tu disposes de la version GRATUITE: désinstalle-la et conserve à la palce Ewido, son clône moins envahissant. O4 - HKLM\..\Run: [Name of App] C:\Program Files\SAMSUNG\FW LiveUpdate\FWManager.exe r Mise à jour automatique de ton matériel Samsung: donc, ce truc se lance à chaque démarrage, puis reste en mémoire, pour mettre à jour ton matériel Samsung une fois tous les trimestre, ou quelque chose comme ça... O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime Démarrage automatique de QuickTime: on se demande bien à quoi sa sert... En fonction de mes commentaires, choisis ce dont tu veux te passer: ensuite lance HijackThis, coche les lignes correspondantes, puis clique sur "Fix Checked" et redémarre. Bonus: Cette ligne: O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe permet l'affichage de certains caractères asiatiques: si cette fonction ne t'intéresse pas, désactive-la grâce à ce tuto (HijackThis n'en est pas capable): http://www.libellules.ch/dotclear/index.ph...exe-au-dmarrage Poste ensuite un nouveau log HijackThis que je vois ton travail ! SECURISER SON PC Ce ne sont que des conseils basiques, ils ne sont en rien exhaustifs, mais ils sont efficaces et relativement faciles à mettre en place, à condition de prendre le temps de tout lire et comprendre. Si tu as des questions n'hésite pas!! Quelques règles de base à respecter en sécurité: je mets à jour mon XP avec Windows Update j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks. ne jamais télécharger n'importe quoi sans se renseigner ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assite tient une liste à jour: La Crapthèque j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal: je me méfie des sites X (et des sites de cracks et warez), très souvent piégés. je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés. ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles. je me méfie des mails que je reçois je en connecte pas mes clés USB n'importe où je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes je sauvegarde les données perso régulièrement, sur DVD ou disque externe la première cause d'infection est le manque de prudence et de discernement de l'internaute je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi. SUPPRESSION DES LOGICIELS DE DESINFECTION Explications: Les logiciels que je t'ai fait utiliser ne doivent pas être utilisés sans connaissances sur leurs fonctions et leurs rôles: mal utilisés, ils peuvent faire plus de mal que de bien. Nous allons donc les désinstaller. Télécharge Tools Cleaner de A.Rothstein sur ton bureau Clique sur "rechercher" Clique sur "suppression" Ferme Tools Cleaner et efface-le INSTALLER UN HOST Explications: Un hosts est un simple fichier texte recensant les sites à risque (contenant des exploits, des failles de sécurité, des virus etc...); ce fichier va INTERDIRE à ta machine de s'y connecter. Simple et redoutable! On va utiliser un logiciel qui automatise la création d'un hosts: HpHosts Télécharge le logiciel HpHosts Installe-le en cliquant successivement sur "next" puis "install" Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)" Redémarre Supprime HpHosts FERMER LES PORTS Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon Télécharge le logiciel ZebProtect Suis le tuto de Tesgaz RENFORCER LE REGISTRE Explications: par défaut, le regsitre de Windows n'est pas optimisé pour combattre certains risques sécuritaires: en renforçant le registre avec un peu de "hardening" (= création et modifications de clés), on sécurise le système contre certaines attaques ciblées. Un logiciel automatise ces modifications (qui sont dangereuses et difficiles à faire à la main): ZigStack Télécharge le logiciel ZigStack Décompresse l'archive sur ton bureau et ouvre le dossier "bin". Clique sur l'executable Zigstack. Clique en bas sur "select all" puis sur " set hardening". Redémarre. Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite). Si oui tu peux supprimer Zigstack de ton PC. SECURISER TA BOX Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée. PROTEGER LE NAVIGATEUR, LA MESSAGERIE et ton logiciel de TCHAT Explications: ces 3 catégories de logiciels sont les premiers pourvoyeurs de virus car ils se conncetent au net: en restreignant leurs droits, tu limite drastiquement les risques que des virus se faufilent par ton navigateur ou tes mails . Un logiciel permet de restreindre les droits: StripMyRights Suis mon petit tuto sur Libellules. UTILISER ET SECURISER FIREFOX Explications: Firefox est un navigateur mieux protégé que Internet Explorer, et qui permet via des extensions de le rendre encore plus sécuritaire. Utilise exclusivement FIREFOX Sécurise-le avec les extensions suivantes: extension AdBlock Plus contre les publicités. avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, en milieu de page, sur cette image extension Customize Google:disparation des pubs Google et anonymisation des cookies Google[/b] [*] Ta navigation sera plus sûre et agréable. NETTOYER LES FICHIERS TEMPORAIRES Explications: les fichiers temporaires, en plus d'avoir une utilité limitée dans le temps, sont un emplacement privilégié pour les droppers et virus. Il faut donc les supprimer de temsp à autres avec CCleaner. LanceCCleaner Slim régulièrement: Clique sur l'onglet "Nettoyeur" Clique sur le bouton "Lancer le nettoyage" Clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents VACCINER SON PC CONTRE LES INFECTIONS de CLES USB Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB Télécharge VaccinUSB de Gof ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!! Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB Double-clique dessus -----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus. Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant. EWIDO & MALWAREBYTES ANTIMALWARE Garde ces deux antispywares gratuits et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport. CONSEILS LOGICIELS UNINSTALL LIST ---> Nous allons générer une liste de tes programmes installés en utilisant HijackThis : Relance HijackThis Comme indiqué sur l'image, choisis l'option Open the Misc tool section Clique sur le bouton Misc Tools Choisis Open Uninstall Manager -----> Tu vas te retrouver devant un écran semblable à celui-ci : Clique sur Save list... et choisis l'endroit sur ton ordinateur où tu veux l'enregistrer... -----> Le bloc-notes va s'ouvrir, copie-colle le contenu de ce bloc-notes sur ce forum

Bon, on y retourne. DESINFECTION SUPPRESSION DES LOGICIELS DE DESINFECTION Efface SDFix et désinstalle SmitFraudFix CCLEANER SLIM Lance CCleaner Clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée et enregistre-la dans tes documents Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes si elles existent: CREATION/EXECUTION D'UN CFSCRIPT Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : KillAll:: File:: C:\WINDOWS\system32\juewnenf.dll Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Je-Rom, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) SECURISATION UTILISER ET SECURISER FIREFOX Utilise exclusivement FIREFOX Sécurise-le avec les extensions suivantes: extension AdBlock Plus contre les publicités. avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, au milieu de cette page, sur cette image extension Customize Google: disparation des pubs Google et anonymisation des cookies Google[/b] StripMyRights Télécharge StripMyRights en cliquant sur cette image: Dézippe l'archive et copie l'éxecutable StripMyRights.exe (64ko) dans: C:\Windows\System32. Télécharge sur ton Bureau ce *.reg que je t'ai préparé: http://dl.free.fr/mprS6Ngq8/stripmyrights_firefox_je-rom.reg Clique droit dessus et sélectionne "Fusionner". Clique "oui" au message d'alerte Redémarre

Configurer LNS pour un réseau local: http://www.looknstop.com/Fr/faq_reseau.htm Règles supplémentaires prédéfinies à installer: http://www.looknstop.com/Fr/rules/rules.htm Tuto règles Phantom: http://www.wilderssecurity.com/showthread.php?t=18327