Falkra

Si windows a été réécrit, normalement il suffit de supprimer les dossier résiduels. Le mieux est de passer par la corbeille ou de renommer (dans un premier temps), puis redémarrer, au cas où quelque chose d'important serait réclamé remettre le nom original. Normalement cela dit, pas besoin : c'est une sécurité supplémentaire.

Il faut passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. Passe à IE8 après le SP3 (bien plus rapide, plus fiable, plus récent) : http://www.microsoft.com/windows/internet-...er/default.aspx

Ha, ça c'est bien de l'avoir dit (pourquoi pas plus tôt ?) on va regarder ça, et réparer. Télécharge ce fichier reseau.bat et double clic dessus, il produira un rapport à poster (entier, assez gros) http://senduit.com/5883b4 ----------- [*] Tu as fait la procédure OtMOveIT ? Tu as le rapport ? Si tu ne l'as pas fait, fais le maintenant (voir au dessus).

Il y a deux trois choses intéressantes. ------------------ Télécharge et double clique sur ce fichier reg (nettoyage d'une clé résiduelle de trop, genre reste d'infection USB) : http://senduit.com/a75d46 Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : @echo off echo. echo -=Extractions de la BdR=- echo. set cle=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa echo %cle% regedit /E c:\reggM1.txt "%cle%" echo ------------->>c:\reggM1.txt c: cd \ dir > reggM2.txt copy c:\reggM?.txt c:\regfile.txt>nul del c:\reggM?.txt notepad c:\regfile.txt del c:\regfile.txt Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher. ------------------ Le reste c'est du réseau, le service DHCP a du mal à assigner les IP à tes PC ça peut être la source du ralentissement. Dans ta config réseau, les PC ont une IP fixe ou dynamique ? Pour le savoir, va dans menu démarrer, paramètres, connexions réseau, et sur la connexion wifi (puisque tu utilsies le wifi), clic droit, propriétés). Dans la liste, le dernier élément est Protocole Internet TCP/IP, demande les propriétés de ça, avec le bouton en dessous à droite, reagrde si c'est paramétré sur obtenir une adresse IP automatiquement, ou si une IP est spécifiée manuellement. Ca a cette tête là (en bas de page, c'est pour Vista mais c'est fait pareil) : http://www.libellules.ch/gerer_connexion.php

C'est le vieux, à juger par l'interface.

Ca n'a pas l'air méchant, ton truc, on confirmera. Oui, seuls les modos (verts en général) peuvent transférer. Les connaissant, ça ne devrait pas tarder.

Bonjour, pour une analyse complète, il faudrait transférer ton sujet vers la section analyse/désinfection de rapport.

J'étais persuadé qu'on était passés par là. Voilà les infos, ça pondra deux rapports alors. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Bientôt disponible via les mises à jour automatiques aussi. Quelques extensions ne sont pas compatibles. Redirect remover notamment, qui n'a pas été mis à jour depuis un an (dernière version datée du 30 mai 2008). Stealther ne sera pas mis à jour, la navigation privée (nouveauté de FF 3.5 remplace cette extension en proposant nativement la fonction pour Firefox). Les nouvelles fonctions vidéo et les petites choses côté historique sont très pratiques. J'ai fait un petit billet de présentation des nouveautés de firefox 3.5, du concret. Un benchmark JavaScript, c'est bien, mais ça on s'en rend compte tout seul, en allant sur Gmail par exemple. On l'a pas mal attendue, cette version rattrape le retard par rapport aux autres navigateurs, en matière de moteur JavaScript.

Poste un nouveau rapport RIST stp (il n'en fera qu'un), si tu veux qu'on voie ce qui pourrait encore être débroussaillé côté logiciel.

Bonjour, as-tu essayé de réinstaller QuickTime, ou à défaut, d'utiliser QuickTime Alternative, en remplacement ? http://www.free-codecs.com/download/QuickT...Alternative.htm

Ok, rien de trop, ou de conflictuel côté logiciels de sécurité. Tu as désactiver les connexions finalement ?

Bonjour, essaie d'abord la manip de KewlCat. En parallèle, voici une extension, ImportExportTools (MboxImport enhanced) : http://nic-nac-project.de/~kaosmos/mboximport-en.html Les fichiers sans extensions (Inbox, Drafts, Sent, Trash) sont au format Mbox, utilisé par Thunderbird. Cette extension permet plein de choses, notamment d'aller les chercher. Si les MSF ne se recréent pas seuls, peut-être que cette extension donnera le coup de pouce nécessaire :

Il y a du boulot là. Il faut passer au SP3 et à IE8, obligé, sinon consulter une page suffit à infecter tout ça. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Salut Kewlcat, En haut à droite, j'ai un espèce de lecteur audio (hideux). Sous "Influences" j'ai a un petit logo myspace (au lieu d'une vidéo). Ce ne serait pas le truc malfichu côté codage ? En plus lads, il y a "ads" dedans, et ça se filtre facilement, même par inadvertance. <param name="movie" value="http://lads.myspace.com/slides/slideshow_random.swf?u=163908333&aid=1794381" /> C'est vraiment laid, et sous Firefox, même pas de fond (un vieux gris texturé).

Microsoft a communiqué à propos de WGA (l'authentification) et d'Internet Explorer. Ils ont volontairement, par mesure de sécurité et pour faciliter les mises à jour tout en supprimant au maximum IE6 de la toile, décidé de le laisser télécharger sans passer par la case WGA, et de le laisser s'installer. Décochez la case de l'installateur pour participer au projet, et décochez celle pour avoir les derniers correctifs. http://www.microsoft.com/windows/internet-...er/default.aspx Une news pour IE7 http://www.clubic.com/actualite-81714-inte...irates-wga.html Plus de WGA pour IE8 non plus : http://www.pcinpact.com/actu/news/49842-ie...automatique.htm Même chose pour la version téléchargeables (hors windows updates donc). En désinfection je le fais installer au maximum quand il y a IE6, et je doute que toutes les machines aient été parfaitement clean... et pourtant IE8 passe.

Bonjour Blade Runner, je vais citer pour faciliter la lecture Alors, pour cette question, il faut se mettre dans la peau de l'utilisateur qui reçoit un mail dont l'expéditeur, c'est lui, ou un de ses comptes. Ce que je veux dire, c'est que le champ expéditeur n'a rien de sacré, pour un serveur ou un script, ça se manipule comme n'importe quelle autre variable, et les spammeurs le font : l'utilisateur légitime envoie automatiquement avec son adresse comme expéditeur. Par contre certains outils permettent aisément à des utilisateurs de marquer n'importe quoi dans la partie "expéditeur", mais cela ne doit pas inquiéter nécessairement le destinataire : son compte n'a pas nécessairement été piraté, le mail en question peut être envoyé sans accès à son compte.On peut bien sûr, et tu fais bien de le dire, éditer le code source du mail (de préférence avec un client mail, car avec les webmails ce n'est pas toujours la fête pour ça) pour jeter un coup d'oeil, mais il faut savoir décrypter les informations : la première fois, ça fait un peu fouillis, et il faut quelques notions pour en tirer parti. Demande, si ce n'est pas tout à fait clair. Pour le côté ardu de la question, ipl_001 a répondu, j'aurais mis à peu près la même chose. Je trouve au contraire que c'est bien : tu sembles avoir atteint le niveau te permettant de maîtriser suffisamment la question pour ne pas infecter ta machine, ou le cas échéant, faire ce qu'il faut sans casse.

Ca, c'est bon signe aussi. Si tu as utilisé ATF cleaner, les fichiers voisins de ceux détectés par Antivir sont éliminés aussi, par prudence. Logiquement, il ne devrait plus y avoir de détections.

Je soumets ça aux copains, c'est intéressant pour cette version de virut. Par contre méfie toi du contenu qui a survécu, il suffirait d'un fichier pour réinstaller toute l'infection. On va vérifier tout ça.

Il y a pourtant eu deux réponses ici, pour préciser les lectures possibles de la question de départ : http://forum.zebulon.fr/index.php?s=&s...t&p=1395099 La question que tu y as posé différait de celle du quizz, qui partait d'un pc en configuration d'usine, juste déballé, pas sur des manips a posteriori. (voir réponses) En même temps, la politique de l'autruche donne d'excellents résultats. Dommage.

Bonsoir Mauricer, HijackThis et Combofix sont des logiciels pour Windows. Leur absence de la rubrique OS alternatifs semble logique (hors émulation ou virtualisation), non ? Drôle d'argument, cette question du nombre de posts, dans un forum de ce type, et ce d'autant plus que ce quizz porte sur la sécurité sous Windows. Tu cherches simplement à détourner le sujet pour y amener une polémique éculée sur les systèmes d'exploitation. Par ailleurs, est-ce en utilisant des formules type "grand maître" qu'on débat efficacement ? Avance des arguments (oups, des vrais), et sur les questions du quizz, attaque les idées, pas les gens, ton propos gagnera en crédibilité. Après, si tu veux débattre des OS à coups de nombre de posts de désinfection, on splitte tout ça vers le J(V)RAD.

Est-ce que tu as le rapport de Dr. Web ? Ce serait intéressant, on aurait plein d'infos à disséquer.

Tu disais que Firefox posait problème. On va regarder ça de plus près. FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées. --------- Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\WINDOWS\system32\sysmgr.exe :reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "USB2Check"=- "CmPCIaudio"=- "QuickTime Task"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "LDM"=- "ctfmon.exe"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{259F616C-A300-44F5-B04A-ED001A26C85C}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] :services tmcomm Aavmker4 aswSP aswTdi aswFsBlk aswMon2 arcaen arcaev arcafd gtermddo :commands [start explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Je vérifie 2-3 éléments, et je reviens.

Bonjour, j'utilise Opera 10 beta et Firefox 3.5 RC3, avec flash, et la page cité dans le premier post fonctionne, sans me réclamer le plugin. Quelle est ta version d'Opera ?