Tibonhomme

Bonsoir, PSI = Secunia Personal Software Inspector L'analyse est plus complète qu'un scan en ligne. Comme indiqué dans le message #3, tu peux le télécharger ici : http://secunia.com/vulnerability_scanning/personal/ Tutoriel ici : http://forum.malekal.com/tutorial-secunia-...ais-t13708.html La présentation a quelque peu changé, mais le principe de fonctionnement est toujours le même. Curieux que tu ne trouves pas ce fichier : C:/Windows/System32/Macromed/Flash/Flash 10b.ocx. Regarde bien dans system32 (le dossier est très fourni!). A plus tard

Oui, j'avais bien compris ce paramètre (que tu expliques dans ton 1er message). Je me suis mal exprimé : je n'ai, en revanche, pas d'information sur ce type d'infection, ni ne sais si c'est ce type de processus lui-même qui est la source ou si il est lié à autre chose. Edit : je me demande s'il ne s'agit pas d'un dropper Les helpers qualifiés connaissent certainement la réponse Cordialement

Merci Aramisss, Je ne sais si ce processus est effectivement une infection (je ne vois pas d'info dessus), ni de quoi il retourne réellement. Un membre de l'équipe Sécurité t'indiquera comment procéder. Ne supprime pas le backup, au cas ou un helper aurait besoin que tu lui remontes le fichier, ni donc la version de HijackThis installée, pour le moment. Bonne continuation A plus tard

Ah, mais es-tu sûr du chemin indiqué par PSI : C/Windows/System32/Macromed/Flash/Flash 10b.ocx. Dans le doute, refais un scan avec PSI et vérifie. A te lire

Ta version d'HijackThis est obsolète! Dans un premier temps, peux-tu, s'il te plaît, faire une copie des lignes inscrites en Backup selon ce que je t'ai indiqué dans mon 1er message? Cela permettra de voir ce que tu as supprimé. Edit : n'installe pas de nouvelle version avant d'avoir indiqué les processus supprimés. A te lire

Bonjour Aramiss et bienvenue, S'il s'agit d'une infection type par support amovible qui réclame des outils spécifiques, un helpeur qualifié de l'équipe Sécurité te donnera les instructions à suivre. Si tu disposes toujours de HijackThis, passe directement au rapport. Pour télécharger HijackThis, suivre ce tutoriel : http://www.libellules.ch/poster_log_hijackthis.php * Lance HijackThis et clique sur Do a system scan and save a logfile * Copie-colle le contenu complet du rapport dans ton prochain message selon la méthode indiquée dans le tutoriel. Si tu as correctement installé HijackThis à la racine de C:, tu dois avoir un fichier de backup : * Retour au menu principal, clique sur View the list of backups et copie également la ligne ou les lignes des processus supprimés (ne les coche pas et ne les restaure pas). Cordialement

Bonjour Tonton57, ticlou, En complément de la question de ticlou : Quel est ton système d'exploitation ? Les méthodes de réparation ne sont pas les mêmes pour XP et Vista. Ta base de registre est corrompue, as-tu subi une infection récemment, as-tu nettoyé la base de registre ? Disposes-tu d'un point de restauration antérieur à l'apparition du problème? Disposes-tu d'un cd d'installation authentique de l'OS ? Cordialement

Bonjour, Pour activer les fichiers et dossiers cachés : Dans Panneau de configuration / Outils / Options des dossiers / Affichage. Coche la case Afficher les fichiers et les dossiers cachés. Décoche les 2 cases Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation (recommandé) - une fenêtre va s'ouvrir, confirme. Puis clique sur Appliquer puis OK Pour revenir au mode d'affichage standard des dossiers et fichiers, applique la méthode au-dessus à l'inverse. Supprime C:/Windows/System32/Macromed/Flash/Flash 10b.ocx et uniquement celui-là. A plus tard

Bonsoir Bouby, J'ai regardé le sujet traité par Apollo. Une première remarque : tu dispose de Bit Defender Internet Security 2010, dans ce cas il t'est inutile de conserver Spybot S&D et Ad-Aware (de conception plutôt obsolète et inefficaces face aux menaces actuelles), qui consomment de la ressource pour rien et risquent de surcroît de créer des conflits avec ta suite sécurité. 1) Désinstaller Spybot Search & Destroy : Double-clique sur l'icône Spybot S&D Options avancées. Menu Mode / coche Mode avancé. Puis clique sur Outils / Résident / Décoche les 2 cases Tea Timer et SD Helper. Puis clique sur Vaccination puis sur Annuler la vaccination (flèche bleue) Aucun élément de doit plus être protégé. Si tu as décoché des entrées de démarrage avec Spybot, recoche-les. Si tu as effectué Des Ajustements IE (restrictions), supprime-les. Désinstalle Spybot par Ajout / Suppr. de programmes Supprime les dossiers Spybot S&D : C:\Program Files\Spybot - Search & Destroy C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ Spybot - Search & Destroy Pour activer les fichiers et dossiers cachés : Double-clique sur Poste de travail / Options des dossiers / Affichage. Coche la case Afficher les fichiers et les dossiers cachés. Décoche les 2 cases Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation (recommandé) - une fenêtre va s'ouvrir, confirme. Puis clique sur Appliquer puis OK Pour revenir au mode d'affichage standard des dossiers et fichiers, applique la méthode au-dessus à l'inverse. 2) Lance Ad-Aware. Désactive AD-Watch. Désinstalle Ad-Aware par Ajout / Suppr de programmes Supprime le dossier C:\Program Files\Lavasoft (ou seulement le dossier Ad-Aware à l'intérieur si tu utilises d'autres applications de cet éditeur). 3) Vérifie que la restauration système est activée : Clic droit sur le Poste de travail / Propriétés / onglet Restauration du système. La case Désactiver la restauration du système sur tous les lecteurs doit être décochée. En face de chaque partition doit être indiqué Surveillance. 4) Vérifie dans Ajout / Suppr de programmes que tu disposes de la dernière version de Java RE : Java 6 Update 16. Si ce n'est pas le cas : Désinstalle Java par Ajout / Suppr de programmes. Télécharge et installe la dernière version ici : http://www.java.com/fr/download/ Décoche la toolbar. Télécharge JavaRa.zip de Paul McLain et Fred de Vries : Cliquer sur Download Windows Binary (.zip file) : http://raproducts.org/ * Décompresser le fichier sur le bureau. * Double-cliquer sur le répertoire JavaRa. * Puis double-cliquer sur le fichier JavaRa.exe. * Choisir le langage français puis cliquer sur Sélectionner. * Cliquer sur Effacer les anciennes versions. * Cliquer sur Oui pour confirmer. Cliquer ensuite sur OK à chaque fenêtre d'invite. * Un rapport propose de s'ouvrir, listant ce qui a été exécuté. * Cliquer sur Autres Options puis cocher Effacer les fichiers JRE inutiles puis cliquer sur Exécuter. * Cliquer sur OUI et fermer l'application. 5) Vérifie que tu disposes de la dernière version de Adobe Flash Player : 10.0.32.18 Sinon désinstalle le module principal ActiveX et le plugin via Ajout / Suppr de Programmes. Par Internet Explorer : télécharge et installe ici : http://get.adobe.com/fr/flashplayer/ Décoche McAfee Security Scan Par Mozilla : même adresse pour le plugin : http://get.adobe.com/fr/flashplayer/ Décoche McAfee Security Scan Télécharge sur le bureau et installe. Se rendre à cette page : http://www.macromedia.com/support/document..._manager05.html Mettre la vérification de la mise à jour à 7 jours. Fermer le navigateur puis le ré-ouvrir et retourner sur cette page (cela confirme). Quitter. Tutoriel complet sur Flash Player ici : http://www.libellules.ch/faq_flash_plugin.php Voila déjà pour quelques pistes. Si tu continue à échanger avec Apollo, surtout informe-le de ce que tu as fait. A te lire

Bonjour Falkra, Ah, j'ai en effet remarqué que cette ligne O4 apparaissait assez souvent maintenant. Donc petit bug sans importance (confirmé par l'équipe de Malwarebyte.org ?) Bonne soirée

Bonjour kapia08, Autre vérification, Clic droit sur Poste de travail / Propriétés / Matériel / Gestionnaire de périphériques Vois-tu des "!" ou "?" en face de certains matériels? A plus tard

Bonjour Philou22, 1) Dans Internet Explorer : Outils / Gérer les modules complémentaires Dans la fenêtre Afficher (à droite en bas), sélectionne Tous les modules complémentaires Tu devrais voir le ShockWave Flash Object. 2) Supprime manuellement le dossier : C/Windows/System32/Macromed/Flash/Flash 10b.ocx 3) Curieux cette demande de MBAM. Peut-être n'as-tu pas redémarré après une mise à jour. Tu as bien téléchargé la version gratuite? Démarre MBAM par clic droit / Exécuter en tant qu'administrateur Clique sur l'onglet Mise à jour puis clique sur Recherche de mise à jour Une fois celle-ci effectuée, clique sur OK puis sur Quitter. Si MBAM demande à redémarrer, fais-le. 4) Pour la restauration, procure toi 1 ou 2 DVD vierges puis suis les indication de la notice ou celles affichées par l'ordinateur. Cordialement

Bonjour à l"invité", bonjour ticlou, Possiblement un rapport de Fire-Wall (Zone Alarm?). Cordialement

Bonjour fellon, bienvenue, As-tu installé un logiciel servant à un mobile Samsung (PC Studio)? Cordialement

Bonjour itofa, Pour Eraser, peut-être faut-il afficher les fichiers cachés auparavant dans Windows. Par hasard, as-tu essayé ATF Cleaner de Atribune : http://www.atribune.org/index.php?option=c...5&Itemid=25 ATF Cleaner est un exécutable, il ne nécessite pas d'installation. Double-clique sur ATF-Cleaner.exe (Clic droit / Exécuter en tant qu'administrateur sous Vista) Onglet Main, coche Select All Clique sur Empty Selected puis OK. Pour Firefox : Clique Firefox en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Puis OK. Clique sur Main puis sur Exit. Pour Opera : Clique Opera en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Puis OK. Clique sur Main puis sur Exit. Cordialement

Bonjour krabs, Démarre Internet Explorer sans module complémentaire : Menu Démarrer / Tous les programmes / Accessoires / Outils système / Internet Explorer (sans module complémentaire) Dans Internet Explorer : Outils / Gérer les modules complémentaires Dans la fenêtre Afficher (à droite en bas), sélectionne Tous les modules complémentaires Dans Barres d'outils et extensions, clique sur chaque module activé puis clique sur le bouton Désactiver (en bas). Note exactement quels modules tu désactives. Redémarre Internet Explorer (de façon normale) puis réactive les modules que tu as désactivé, un par un. Teste à chaque fois le fonctionnement d'IE. Dis-nous ce que cela donne. Cordialement

Bonjour kapia08, Dans un 1er temps, il conviendrait de s'assurer que toutes les mises à jours sont effectuées : Menu Démarrer / Tous les programmes / Windows Update Choisis les mises à jour rapides et fait toutes les mises à jour prioritaires. Cordialement

Bonjour alainj77, ticlou, Je ne reviens pas sur les très bons conseils de ticlou. Juste une interrogation : Pourquoi lancer Team Viewer au démarrage? D'autre part, si tu crée un message en section de désinfection, remet l'ordinateur en mode de démarrage normal afin que les helpeurs puissent avoir une vue d'ensemble (réactive les entrées de démarrage supprimées avec CCleaner). Cordialement

Bonjour Philou22, Sacles, Falkra, Bien vu! Voir la notice pdf en français - Avira Antivir Personal : http://www.free-av.com/fr/documentation/index.html Mentions dans les pages 51 et 65. J'ai du reste découvert que l'auto-protection n'est pas fonctionnelle sous 64 bits! Je dois également modifier mes conseils : Le pare-feu Online Armor Free n'est pas compatible avec les OS 64 bits. MBAM, PSI, Firefox, Auslogics Disk Defrag sont compatibles. En revanche, j'ai un doute pour ATF Cleaner ?? Sacles, Falkra, avez-vous la réponse? Merci

Bonjour Nerva, dominiqd, @dominiqd, Cela me paraît une assertion bien hasardeuse. C'est une très bonne chose d'utiliser aussi d'autres environnements, mais je ne pense pas que ce soit une réponse à la question de Nerva. @Nerva, Sage précaution! Pour information, lien vers TrueCrypt 6.3 : http://www.truecrypt.org/downloads Tu peux essayer la solution du lien ci-joint pour créer un fichier batch autorun.inf à la racine de la clé contenant le volume crypté : http://www.ehow.com/how_2298754_usb-flash-...-truecrypt.html Des commentaires utiles : http://www.ehow.com/tips_2298754.html Ces liens étant en anglais, si tu rencontres des difficultés de compréhension, n'hésite pas à demander. Cordialement

Bonjour Nerva, dominiqd, @dominiqd, Cela me paraît une assertion bien hasardeuse. C'est une très bonne chose d'utiliser aussi d'autres environnements, mje ne pense pas que ça réponde à la question de Nerva. @Nerva, Sage précaution! Tu peux essayer la solution du lien ci-joint pour créer un fichier batch autorun.inf à la racine de la clé contenant le volume crypté : http://www.ehow.com/how_2298754_usb-flash-...-truecrypt.html

bonsoir chmart, Pas d'affolement! Suis ce tutoriel, dans la partie "faire héberger une image" (choisis de préférence hiboox.com) : http://forum.zebulon.fr/comment-participer...rum-t98948.html A plus tard

Bonjour chmart, Pourrais-tu, s'il te plaît, nous transmettre des captures d'écran sous IE et Firefox? A plus tard

Bonjour Philou22, Falkra, @Falkra, Merci pour le split, cela facilitera la lecture, d'autant plus que le sujet sur l'auto-protection des logiciels de sécurité est fort intéressant. J'ai moi-même de nombreuses interrogations dont je ferai probablement part dans un nouveau sujet. @Philou22, Pour ce qui concerne la création de compte utilisateur et l'attribution d'un mot de passe, tu peux consulter cet article : http://www.6ma.fr/tuto/creer+compte+utilis...ndows+vista-266 Pour la création de disques (impératif) et l'utilisation de Windows Defender, Falkra t'a répondu. Je t'indique tout de même ce tutoriel de VertigO : http://www.malekal.com/tutorial_WindowsDefender.php Tu n'es pas obligé d'activer WD (à toi de voir). Un scan hebdomadaire (ou bimestriel) avec MBAM par exemple est, à mon avis, plus efficace. Pour les pilotes, je pense que l'ordinateur étant récent, les pilotes y sont à jour. Maintenant, sur la procédure à suivre pour les portables Dell, je ne puis t'aider. Il serait préférable de consulter la notice constructeur. Cordialement

Bonjour Falkra, Merci de ton intervention. Voici un résumé des échanges concernant les outils spécifiques pou t'éviter d'aller rechercher dans le sujet : Extrait message #5 Edit : j'ai également noté ces 2 lignes As-tu utilisé Toolbar-S&D seul, ou te l'a-t-on prescrit (procédure de désinfection)? As-tu utilisé ToolsCleaner pour supprimer Tollbar-S&D? ------ Extrait message #8 je répond aux 2 questions 1/ Toolbar-S&D : téléchargé "seul" 2/ j'ai toujours "Toolbar-S&D" et ToolsCleaner sur le bureau ------ Extrait message #12 As-tu installé F-Secure sur un pc parfaitement sain? Je te pose cette question à cause de la présence de Toolbar S&D que tu as utilisé (présence du rapport C:\TB.txt). Pour quelle raison as-tu utilisé cette application (qu'il n'est pas conseillé, comme pour tous les utilitaires de désinfection spécifique, d'utiliser seul, j'y reviendrai)? S'il te plaît, disposes-tu toujours du rapport de Toolbar S&D, et dans ce cas peux-tu coller le rapport dans ton prochain message. ------ Extrait message #13 9/ pour ToolBar S&D : mea culpa, j'ai voulu être calife à la place du calife...voici le rapport -----------\\ ToolBar S&D 1.2.9 XP/Vista Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6002 ) Service Pack 2 X86-based PC ( Multiprocessor Free : AMD Athlon™ 64 X2 Dual Core Processor 5200+ ) BIOS : Phoenix - AwardBIOS v6.00PG USER : jeanpaul ( Administrator ) BOOT : Normal boot C:\ (Local Disk) - NTFS - Total:357 Go (Free:267 Go) D:\ (Local Disk) - NTFS - Total:94 Go (Free:94 Go) E:\ (CD or DVD) "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 ) Option : [1] ( 18/09/2009|12:28 ) [ UAC => 1 ] -----------\\ Recherche de Fichiers / Dossiers ... C:\Program Files\Crawler -----------\\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" "Local Page"="C:\\Windows\\system32\\blank.htm" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page Redirect Cache"="http://fr.msn.com/?ocid=iehp" "Url"="http://go.microsoft.com/fwlink/?LinkId=75720" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.msn.com/" "Local Page"="C:\\Windows\\System32\\blank.htm" --------------------\\ Recherche d'autres infections Aucune autre infection trouvée ! [ UAC => 1 ] 1 - "C:\ToolBar SD\TB_1.txt" - 18/09/2009|12:29 - Option : [1] ------ Extrait message #14 (Note : je passe sur mes remarques sur les outils de désinfection spécifique) Pour terminer, le rapport Toolbar S&D est un rapport de recherche. As-tu sélectionné l'option 2 - Suppression-, et dans ce cas disposes-tu d'un rapport? Si ce n'est pas le cas dis-le moi sans effectuer aucune action. ------ Extrait message #15 Pour les outils speciaux : message reçu 5/5 ! pour toolbar s&d : pas de suppression ! ------ Extrait message #17 Ok pour Toolbar S&D, merci de la précision. Néanmoins, je ne vois plus C:\Program File\Crawler qui est effectivement une toolbar nocive. L'as-tu désinstallé de quelque manière? ------ Extrait message #20 As-tu toujours un dossier C:\Program File\Crawler qui est effectivement une toolbar nocive? Si c'est le cas, il va falloir le traiter. Je vois d'autre part : Encore une fois, attention avec les outils de désinfection spécifiques icon_wink.gif Tu ne l'as peut-être utilisé que pour la vaccination, car je vois : Pour la vaccination, tu aurais aussi pu utiliser l'outil créé par Gof VaccinUSB.exe : http://forum.zebulon.fr/infections-par-sup...es-t131959.html Cet outil crée en plus plusieurs autres fichiers aux noms couramment empruntés par les fichiers de propagation d'infections. Voir un exemple de rapport dans le message #19 : Visitez mon site web Les antivirus réagissent parfois lors du téléchargement ou de l'installation, il faut ignorer. Il peut être nécessaire de lancer l'application an tant qu'administrateur. Ce même message contient également l'outil de désinstallation spécifique delVaccinUSB. Si tu veux utiliser cette vaccination, il est nécessaire de supprimer celle installée par UsbFix de Chiquitine29 et C_XX en utilisant l'outil spécifique (lien en bleu) sur cette page : http://pagesperso-orange.fr/nostools/usbfix.html ------ extrait message #21 2/ Dossier crawler : n'existe plus 3/ usbfix : j'ai juste fais un scan et supprimé (sauvagement) l'outil de mon bureau...à tout hasard je vais passer le désintalleur... ------ Extrait message #22 l reste quelques points importants à vérifier. Comment cette toolbar a-t-elle été supprimée? Peut-être reste-t-il des traces actives dans le registre. Je t'ai mis en garde contre les outils de désinfection. Tu n'a pas seulement fais une analyse (et une suppression?), il y a également une vaccination. D'autre part, il n'est pas conseillé de le supprimer "à la sauvage" comme tu dis. ------ Extrait message #23 ok avec toi pour les outils spécifiques ...à n'utiliser que sur demande des "helpers"... ------ Extrait message #24 Il reste à s'occuper des outils spécifiques présents et s'assurer que tout est OK. J'ai signalé cela à un modérateur Sécurité afin qu'il (ou un autre spécialiste) t'indique à la suite la procédure adéquate pour ne pas commettre d'impair. Ne tente donc surtout rien avec ces outils en attendant. ------ Voila Falkra, en espérant que cela te précisera un peu les choses. J'ai préféré ne désinstaller aucun outil spécifique et te laisser juge de ce qu'il convient de faire. A plus tard