oGu

Non non, je pense sincèrement que tu as raison, c'est plus simple par le menu contextuel !

Impecc' ! Au vu de sa somme de calcul, l'exécutable x.exe semble lié à Java d'après de rapides recherches. En tout cas le scan multi-antivirus ne montre rien, tant mieux! Peux-tu me poster un log HijackThis qu'on y jette un oeil avant de conclure?

Moi, mais j'ai tort! Tu as raison, le clic droit est plus simple A CONDITION d'avoir régler le profil du scan contextuel correctement.

Clair! Sur l'ancienne version de NOD32, je pouvais même désactiver le skin, pour donner au logiciel un aspect Win98-like du plus mauvais effet: mais l'antivirus devenait ainsi moins gourmand en ressources (et comme je me moque de son aspect esthétique...). Cette option a disparu sur la V3, hélas...

On continue ! CREATION D'UN BATCH On est gâté, c'est sUBs en personne, le créateur de ComboFix, qui t'a concocté ce batch ! Ouvre ton bloc-note Copie-colle dans ton bloc-note les lignes de code suivantes (sauf le mot "CODE" bien sûr!) @echo off Vfind -rtf C:\WINDOWS\system32\tmp[0-9]_*.bk >oGu.txt For /f "tokens=*" %%g in ( oGu.txt ) do del /a/f "%%g" 2>nul echo.>>oGu.txt echo.===============>>oGu.txt echo.>>oGu.txt Vfind -rtf C:\WINDOWS\system32\tmp[0-9]_*.bk >>oGu.txt Start Notepad oGu.txt Nircmd wait 2000 del oGu.txt del %0 exit Enregistre ce fichier sur ton bureau en l'appelant scrupuleusement lezenete.bat Double-clique dessus, le batch s'exécute A la fin de l'opération, il va te demander l'autorisation d'ouvrir un fichier texte: accepte Copie-colle dans ta réponse le rapport fourni (il sera également créé sur ton bureau sous le nom oGu.txt) ANALYSE D'UN *.EXE DOUTEUX Tu as sur ta machine un exécutable qui pourrait être infectieux: on va s'en assurer: Disposes-tu (ou as-tu disposé!) d'un logiciel anti-rootkit nommé RootKit Revealer ? Disposes-tu (ou as-tu disposé!) d'un logiciel nommé XoftWare ? Va sur le site VirusTotal Copie cette ligne: C:\Documents and Settings\Tayeb Kial\x.exe Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal: Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. La désinfection est pratiquement terminée: on poursuivra ensuite avec 3 scans antivirus/antispy + quelques petits détails. Si tu souhaites aller plus loin, je pourrais enfin te communiquer quelques conseils à suivre pour surfer tranquille, et te fournir unen procédure basique de sécurisation de ta machine. A suivre! Salut.

C'est prévu, je crois qu'il attend l"anniversaire" de son premier test pour se pencher à nouveau dessus.

Super Domble, merci pour le batch! Tu as raison sur le fake bien sûr, et sur la nécessité d'une bonne sécurisation plutôt que d'un mini-log HJT, mais ce topic est là pour s'amuser, rien de plus!

Le lien n'est pas encore public, c'est une version alpha-bêta-gamma (et peut-être même zéta).

Ben un super soft qui regroupe TOUT en un seul exe !! (bureautique, suite sécurité, graveur, multimédia, navigateur, messagerie, démineur bien sûr, notepad...+ tout ce que tu as envie de rajouter à la liste). Avec en plus mon MétaService qui regroupe TOUT les services au sein d'un seul exécutable (c'est plus cool que d'avoir 12 svchost actifs), je gagne le concours !!! Pas évident à mettre en oeuvre,c'est encore plus chaud que de compiler une Gentoo !

Bon, histoire de gagner le concours, j'ai un peu optimisé la bête avec des softs de ma connaissance (pour spécialistes only): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:48:39, on 09/04/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\Program Files\Logiciel_Tout_en_1\Logiciel_Tout_en_1_bureautique+antivirus+navigateur+firewall+multimédia.exe C:\windows\system32\MétaService.exe C:\Program Files\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [Logiciel_Tout_en_1] C:\Program Files\Logiciel_Tout_en_1\Logiciel_Tout_en_1_bureautique+antivirus+navigateur+firewall+multimédia.exe O23 - Service: C:\windows\system32\MétaService.exe -- End of file - 3675 bytes J'ai gagné??

Je parlais de la ligne 020 Winlogon, banane !!

Pas de Winlogon chez moi non plus! (sous XP) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:48:39, on 09/04/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\system32\svchost.exe C:\Program Files\LooK ' N ' StoP\lnssvc.exe C:\Program Files\LooK ' N ' StoP\looknstop.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\windows\Explorer.EXE C:\Program Files\ProSecurity\PSSession.exe C:\Program Files\SpyBlocker Software\Pro\spyblocker.exe C:\windows\system32\TPSMain.exe C:\Program Files\ProSecurity\RuleEditor.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\windows\system32\TPSBattM.exe C:\Program Files\ProSecurity\Alarm.exe C:\Program Files\RocketDock\RocketDock.exe C:\Program Files\HDD Thermometer\HDD Thermometer.exe C:\Program Files\SpyBlocker Software\Pro\bhs.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\SpyBlocker Software\Pro\sbdl.exe C:\windows\system32\svchost.exe C:\Program Files\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Program Files\SpyBlocker Software\Pro\aproxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 O4 - HKLM\..\Run: [SpyBlockerPro] C:\Program Files\SpyBlocker Software\Pro\spyblocker.exe O4 - HKLM\..\Run: [TPSMain] TPSMain.exe O4 - HKLM\..\Run: [PS_Alarm] C:\Program Files\ProSecurity\Alarm.exe O4 - HKLM\..\Run: [PS_RuleEditor] C:\Program Files\ProSecurity\RuleEditor.exe O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Program Files\HDD Thermometer\HDD Thermometer.exe O4 - Startup: Boot-Time.lnk = C:\Program Files\Boot-Time.exe O11 - Options group: [PAC] Automatic Proxy Configuration O17 - HKLM\System\CCS\Services\Tcpip\..\{82C12625-B16C-42BA-B71C-2B1153F4CC6B}: NameServer = 208.67.222.222,208.67.220.220 O17 - HKLM\System\CCS\Services\Tcpip\..\{DB8DE8FE-6D16-4D04-8AE4-7720B42DE5C5}: NameServer = 208.67.222.222,208.67.220.220 O17 - HKLM\System\CS1\Services\Tcpip\..\{82C12625-B16C-42BA-B71C-2B1153F4CC6B}: NameServer = 208.67.222.222,208.67.220.220 O17 - HKLM\System\CS2\Services\Tcpip\..\{82C12625-B16C-42BA-B71C-2B1153F4CC6B}: NameServer = 208.67.222.222,208.67.220.220 O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Look 'n' Stop Service (LnSSvc) - Unknown owner - C:\Program Files\LooK ' N ' StoP\lnssvc.exe O23 - Service: Pro Security Session Notification Service (PSSessionService) - Unknown owner - C:\Program Files\ProSecurity\PSSession.exe -- End of file - 3675 bytes

Salut! Le p2p c'est la quasi certitude de se faire infecter...Si tu penses que ton beau-fils peut se servir de ton PC sans ton consentement, il te suffit alors de mettre un mot de passe sur ton compte (pour ne pas qu'il puisse s'en servir pour installer des applications comme eMule) et de lui créer, exprès pour lui, un "compte limité" qui lui permettra d'aller sur le web mais pas d'installer n'importe quoi (p2p, cracks, vidéo piégées...)

Tesgaz fait plus fort !! Logfile of HijackThis v1.99.1 Scan saved at 23:04:22, on 30/06/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Applications diverses\HijackThis\HijackThis.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CE72AECC-812D-44AB-BFF7-0D0C61A4A6D6}: NameServer = 192.168.0.1 Imbattable je pense !

Salut à tous. Quel est le rôle de ce fichier hostsperm? J'y retrouve des lignes relatives à des sites sains, est-ce normal?

Re Lezenete! Comme je te l'ai signalé en mp, Combofix était victime d'un bug maintenant résolu. Il te faut donc: Supprimer ComboFix.exe qui se trouve sur ton Bureau. Puis télécharge la nouvelle version de ComboFix à cette adresse: http://download.bleepingcomputer.com/sUBs/ComboFix.exe Et recommence avec l'opération avec le CFscript!

A la fois je suis très mauvais en batch, si tu te sens d'attaque n'hésite pas!

Le service est toujours désactivé chez moi MAIS je l'active avant de faire une image ou de la restaurer. Une fois, fait: je désactive à nouveau! Inutile de faire tourner un service en continue alors que l'on s'en sert une ou deux fois par mois. J'avais essayé de faire un batch automatisant l'activation/désactivation, mais j'avais échoué, hélas...

Salut! A tout hasard: n'aurais-tu pas téléchargé la version DEMO premium plutôt que la free? La démo Premium ne permet pas de maj effectivement, à moins de ne l'acheter. La free Personal Classic, elle, est intégralement fonctionnelle.

Je posais simplement la question!! Ah?? Chez moi je ne lance le service "Acronis Sheduler" (qui est réglé sur "désactivé le reste du temps) que quand je veux faire une image ou en restaurer une. TU devrais essayer de régler le service.

Salut! Je ne comprends pas l'intérêt du post?? C'est un concours à l'envers de taille de log?? Si oui, on peut faire encore plus petit! Le soft RealTek peut être désactivé et le scheduler d'Acronis est inutile !!

Avant de recommencer, va voir si tu as un rapport daté d'aujourd'hui ici: C:\ComboFix.txt Si oui poste-le, si non, recommence la procédure en pensant à désactiver ton antivirus et ton antispyware. A suivre.

Pour Thunderbird, il existe un petit logiciel qui automatise tout ça: BackupFox http://www.neowin.net/forum/index.php?showtopic=291258 Ce logiciel portable (sans installation) permet de sauvegarder les profils complets (marque-pages, extensions, thèmes, réglages...) de Firefox et de Thunderbird (y compris les mails). Tu peux choisir l'emplacement de la sauvegarde à ta guise. Bien sûr, tu peux aussi restaurer le profil à partir du logiciel. Il les sauvegarde en les compressant au format 7z. Il te suffira d'en faire une sauvegarde, de la mettre à l'abri sur clé usb par exemple, ou en la hostant sur internet, et BackupFox pourra restaurer tous tes réglages en 2 clics en cas de réinstallation du navigateur ou de Windows.

Salut Lezenete! T'es prêt pour la suite? Lis bien l'intrégralité de la procédure avant de commencer. CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : FileLook:: C:\Documents and Settings\Tayeb Kial\x.exe DirLook:: C:\Documents and Settings\Tayeb Kial\dsc C:\Documents and Settings\Tayeb Kial\vw C:\WINDOWS\SYSTEM32\1.tsk C:\Documents and Settings\Tayeb Kial\.ssh File:: C:\WINDOWS\SYSTEM32\tmp4_80257417953.bk C:\WINDOWS\SYSTEM32\tmp3_233545185404.bk C:\WINDOWS\SYSTEM32\tmp1_630924362952.bk C:\WINDOWS\SYSTEM32\tmp4_155577209506.bk C:\WINDOWS\SYSTEM32\tmp3_808144884914.bk C:\WINDOWS\SYSTEM32\tmp1_178302103124.bk C:\WINDOWS\SYSTEM32\tmp4_372947415371.bk C:\WINDOWS\SYSTEM32\tmp3_396402278405.bk C:\WINDOWS\SYSTEM32\tmp1_59398535479.bk C:\WINDOWS\SYSTEM32\tmp4_350914650704.bk C:\WINDOWS\SYSTEM32\tmp3_137787682836.bk C:\WINDOWS\SYSTEM32\tmp1_187507355969.bk C:\WINDOWS\SYSTEM32\tmp4_276870672018.bk C:\WINDOWS\SYSTEM32\tmp3_59737617725.bk C:\WINDOWS\SYSTEM32\tmp1_30509727084.bk C:\WINDOWS\SYSTEM32\tmp3_860155714422.bk C:\WINDOWS\SYSTEM32\tmp1_648367137115.bk C:\WINDOWS\SYSTEM32\tmp4_735658523992.bk C:\WINDOWS\SYSTEM32\tmp4_95658718601.bk C:\WINDOWS\SYSTEM32\tmp3_131020193602.bk C:\WINDOWS\SYSTEM32\tmp1_885018786007.bk C:\WINDOWS\SYSTEM32\tmp4_806260631631.bk C:\WINDOWS\SYSTEM32\tmp3_59937537474.bk C:\WINDOWS\SYSTEM32\tmp1_18937758603.bk C:\WINDOWS\SYSTEM32\tmp4_156781293923.bk C:\WINDOWS\SYSTEM32\tmp3_303101315291.bk C:\WINDOWS\SYSTEM32\tmp1_95965134138.bk C:\WINDOWS\SYSTEM32\tmp4_824088805909.bk C:\WINDOWS\SYSTEM32\tmp3_761505311931.bk C:\WINDOWS\SYSTEM32\tmp1_70012369644.bk C:\WINDOWS\SYSTEM32\tmp4_146070161670.bk C:\WINDOWS\SYSTEM32\tmp3_463267665855.bk C:\WINDOWS\SYSTEM32\tmp1_793205599317.bk C:\WINDOWS\SYSTEM32\tmp4_30267137476.bk C:\WINDOWS\SYSTEM32\tmp3_49367054688.bk C:\WINDOWS\SYSTEM32\tmp1_288507141139.bk C:\WINDOWS\SYSTEM32\tmp3_149374606393.bk C:\WINDOWS\SYSTEM32\tmp1_427952305632.bk C:\WINDOWS\SYSTEM32\tmp4_82194941810.bk C:\WINDOWS\SYSTEM32\tmp3_532564549123.bk C:\WINDOWS\SYSTEM32\tmp1_411430568496.bk C:\WINDOWS\SYSTEM32\tmp3_118881220264.bk C:\WINDOWS\SYSTEM32\tmp1_257058784084.bk C:\WINDOWS\SYSTEM32\tmp4_745256247378.bk C:\WINDOWS\SYSTEM32\tmp4_65621496225.bk C:\WINDOWS\SYSTEM32\tmp3_70965841955.bk C:\WINDOWS\SYSTEM32\tmp1_25683111992.bk C:\WINDOWS\SYSTEM32\tmp4_826115281247.bk C:\WINDOWS\SYSTEM32\tmp3_447626540201.bk C:\WINDOWS\SYSTEM32\tmp1_211318448596.bk C:\WINDOWS\SYSTEM32\tmp4_564246214939.bk C:\WINDOWS\SYSTEM32\tmp3_801150426918.bk C:\WINDOWS\SYSTEM32\tmp1_721337705317.bk C:\WINDOWS\SYSTEM32\tmp4_249061599661.bk C:\WINDOWS\SYSTEM32\tmp3_36742170870.bk C:\WINDOWS\SYSTEM32\tmp1_114997137551.bk C:\WINDOWS\SYSTEM32\tmp4_17270290914.bk C:\WINDOWS\SYSTEM32\tmp3_764277312808.bk C:\WINDOWS\SYSTEM32\tmp1_675286187107.bk C:\WINDOWS\SYSTEM32\tmp4_637320581041.bk C:\WINDOWS\SYSTEM32\tmp3_110794294058.bk C:\WINDOWS\SYSTEM32\tmp1_28748618282.bk C:\WINDOWS\SYSTEM32\tmp4_824188621205.bk C:\WINDOWS\SYSTEM32\tmp3_79672423026.bk C:\WINDOWS\SYSTEM32\tmp1_336442584256.bk C:\WINDOWS\SYSTEM32\tmp4_583944874536.bk C:\WINDOWS\SYSTEM32\tmp3_834703804984.bk C:\WINDOWS\SYSTEM32\tmp4_509526875468.bk C:\WINDOWS\SYSTEM32\tmp3_683749511499.bk C:\WINDOWS\SYSTEM32\tmp1_447092424358.bk Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste les deux rapports suivants dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) - Un nouveau rapport HijackThis

Salut! Par exemple, la nécessité de sauvegarder ses mails comme tu le disais, mais il y en a d'autres: si tu tournes toujours sous Returnil, tu perds tes mises à jour, y compris celles des bases virales de ton antivirus, tu perds les onglets que tu as sauvegardé, les réglages que tu as effectué, les nouveaux logiciels installés...C'est très contraignant pour une utilisation lambda, et de mon point de vue, Returnil ne peut être à lui seul une stratégie de sécurité à part entière: aurisque de me répéter, Returnil n'est utile que pour 3 choses: - tester des logiciels, des réglages, sans pourrir l'OS ou la base de registre: on fait les tests sous Returnil et on juge: si c'est ok, on reboote et on applique ce réglage "en dur". C'est également sous Returnil que je teste les fix que je fais appliquer dans les désinfections. - tester des malwares pour se faire la main (encore que, vu qu'on ne peut rebooter sous R sans rien perdre, l'intérêt est limité...) - se prendre pour Indiana Jones et surfer dans des endroits que la morale réprouve. Pour le reste, il vaut mieux sécuriser sa machine de manière plus traditionnelle, pourquoi pas en virtualisant uniquement le navigateur, ou bien en restreignant ses droits, de manière à bloquer la porte d'entrée aux malwares. Non. La free suffit amplement de mon point de vue, la payante étant consacré, je crois, aux professionnels qui auraient besoin de fonctions plus avancés.