Doupleufé

Pas mal, je gagne encore quelques dizaines de Mo en le lançant après un nettoyage CCleaner. Je ne sais pas où il va les chercher ceux là mais il le fait. Ça me fait passer au dessus de la barre psychologique du Go de libre. Merci beaucoup Voilà le rapport :

Vu pour Explorer, je pouvais toujours rêver Je vais essayer OTM. S'il est complémentaire de CCleaner (que j'utilise quotidiennement) ça peut être sympa. Je te tiens au courant.

Le mot de la fin. Malgré ton soft la mise à jour windows ne s'effectue toujours pas. Mais ça suffira pour aujourd'hui. Je referai un topic à l'occasion. Encore merci pour tout, ta disponibilité, ta réactivité et tes conseils. En plus j'ai beaucoup appris, ce qui ne gâte rien (je dévore le topic sur HJT et les multiples liens qui y sont donnés vers l'optimisation des services, msconfig etc.) Peut-être à bientôt aux hasards d'un topic !

Re Apollo, Mes problèmes d'installation (arrêts inopinés et inexpliqués des processus) était dû à un manque de place sur mon DD : un p'tit coup de Treesize Free m'a permis de rapidement faire de la place et comprendre d'où venait cet encombrement. Adobe Reader me prend 230 Mo (seul OpenOffice est pire, et ce n'est pas une référence...) et le passage de ie6 à ie8 me bouffe aussi 200 Mo. Sur un DD de 7 Go (netbook oblige) ça m'a tout de suite fait mal. Je pense que je vais passer à un alternatif à AR, foxit vient de se mettre à jour et se fait moins trouer qu'avant par le PoC de Didier Stevens (moins qu'avant, mais autant de AR maintenant ). D'ailleurs son détecteur de PDF malsain a l'air pas trop mal en cas de doute sur un fichier... Dans le même ordre d'idée, il n'y a pas moyen de supprimer ie ? Histoire de faire de la place. Je ne l'utilise jamais (mais peut-être que d'autres processus l'utilisent eux... je ne sais pas) Avec de la place les installations/MAJ se sont déroulées correctement, seul persiste mon soucis de MAJ KB956744. Je vais m'atteler à ce que tu me recommandes. Le soucis n'était pas l'infection donc. Me voilà propre (encombré et encore bancal, mais propre). C'est grâce à ton aide, merci beaucoup Apollo !

Re Apollo, Le PC ne va pas très bien en fait (pas taper !)... J'ai suivi tes instructions, notamment la MAJ adobe reader, java et ie. J'ai installé Adobe Reader 9 sans problème. Par contre il télécharge une mise à jour mais n'arrive pas à l'installer, erreur 1500... La réparation ne fonctionne pas non plus. J'ai MAJ java et supprimé les versions les plus anciennes, là pas de soucis. J'ai dl ie8. Il me demande (à juste titre) d'installer la version netbook. L'installation commence, premier écran m'indiquant le téléchargement des données en cours et... l'écran s'éteint. Plus rien. L'installation rate. Ce qui s'ajoute à quelques autres soucis : j'ai fait une MAJ w$ aussi. Et je n'arrive tjrs pas à installer la MAJ KB956744, même manuellement (j'ai dl le .exe chez M$ mais rien n'y fait). C'était un soucis ancien, et qui n'est pas réglé. Ce qui a bien fonctionné : mes clés témoins (i.e. non vaccinées) ne s'infectent pas lorsque je les insère. C'était la raison principale de ce threat, c'est déjà une victoire. Les soucis mentionnés précédemment doivent être des instabilités système (enfin j'espère, c'est toi l'expert ) : ce sont tous des arrêts simples de procédures en cours (ce qui est curieux, je l'admets bien volontiers) Voilà mon rapport HJT : Suis je bon pour te laisser tranquille ? Merci vraiment énormément pour ta patience et ton aide ! W. P.S. : juste en passant. Tu conseillais d'installer Adobe Reader (dernière version), mais vu ce qu'arrive à faire un Didier Stevens (et ce n'est pas le seul), tu n'aurais pas de lecteurs pdf moins vulnérables à conseiller (apparemment pas foxit reader déjà...) ?

Re Apollo, J'ai donc changé l'antivirus suite à ton conseil. Et voici le résultat de mon scan Le nettoyage a eu lieu, juste C:\WINDOWS\system32\drivers\sptd.sys qui n'a pas pu être ouvert (pour l'autre .sys je peux comprendre). Petite surprise de voir de très anciens fichiers infectés dans le répertoire de l'ancien proprio du PC (i.e. mon père...) Merci pour le lien vers la formation à l'analyse des rapports HijackThis. Ça ne m'empêchera pas de revenir demander de l'aide ici , mais au moins je serai moins dans le brouillard (je n'aime pas ne pas comprendre ce que je fais ) Voilà, j'espère être désinfecté, surtout après autant de scan divers et variés. Qu'en dis-tu ? W.

Effectivement, j'avais zappé que 1. n'était qu'une recherche et non une "search&destroy". Voilà le log de USBFix après nettoyage. C'est curieux il ne m'a vacciné qu'une seule clé (la E:\) et pas les deux autres... Peut-être un pb de droit en écriture. Je le ferai à la main plus tard : c'est expliqué dans le pdf de Gof (et avec une clé non vaccinée je pourrai tester la 'dangerosité' de mon pc à la fin ) Voici le rapport HijackThis : ... qui est toujours autant explicite pour moi. D'ailleurs existe-t-il un tuto sur le forum qui nous guiderait sur la manière d'interpréter un rapport HijackThis (i.e. identifier les processus légitimes des autres...) ? Ce serait une super ressource ! Voilà Apollo, je suis suspendu à ton clavier pour la suite. Encore merci pour ton aide et la découverte de USBFix !

Bonjour Apollo. Merci beaucoup de prendre le temps de m'aider ! Très bonne question pour une mauvaise réponse : non je n'avais pas mes clés de branchées. Je l'ai refait avec mes clés et là surprise : ma désactivation, inhibition recommandée par Gof ne me protège plus : en branchant mes clés elles s'infectent d'un nouvel autorun.inf et d'un nouvel exécutable FEJS situé dans un dossier du même nom. Avast a bien réagi et a supprimé les .exe en question. MBAM ne me trouve rien une fois lancé. Je vérifie mes clés de registre que j'ai modifiées suite aux instruction de Gof : tout est ok. Et je me fais quand même infecter mes clés... J'essaierai de lui en parler dans son topic (à chaque topic suffit sa peine). Revenons à nos moutons : USBFix. dl et lancé, voici le rapport (il m'a bien trouvé des cochonneries lui) Penses tu que ce soit suffisant pour estimer avoir un ordi propre ? W.

Bonjour à tous. Je viens vous embêter pour la première fois parce que suite à un prêt de clé usb, je me suis retrouvé infecté. Jusqu'ici c'est très banal : comme tout mauvais élève je n'avais pas désactivé l'autorun et me suis fait eu . Seulement les antivirus que j'ai testés n'ont rien trouvé (que ce soit panda, freeavg ou avast). Donc je me tourne vers vous en espérant que quelqu'un ait la gentillesse de m'aider à m'en sortir. Pour situer le contexte, voici mes informations système : Windows XP Professionnel, Version 2002, Service Pack 3. Et voilà les symptômes qui m'ont fait tilter : Présence d'un fichier autorun.inf à la racine de ma clé. Présence d'un fichier exécutable à la racine de ma clé nommé Sevebomba.exe (lancé par l'autorun, est-il besoin de le préciser ?). Donc à ce niveau là, même G.Montagné voit que la situation est mal engagée, et grâce à mon sens de la déduction hyper-développé je me dis "tiens, je suis ba*sé.". Perte des droits administrateur avec création d'un profil admin auquel je n'ai pas accès. Impossible de lancer des scans anti-virus ou dezipper de nouveaux antivirus ou de les installer. Voici ensuite la liste des actions qui m'amènent ici : Je redémarre en mode sans échec, me connecte à internet pour lancer un scan à distance avec panda security. Verdict : RAS Je redémarre normalement : le profil admin a disparu et j'ai retrouvé le contrôle de mon PC (au moins en apparence). Je lance un scan avg, verdict : RAS . Je désinstalle avg et installe avast. Je lance un scan, verdict : RAS Craignant pour ma santé mentale je branche une nouvelle clé usb : bim retour de l'autorun.inf et de l'exécutable. Je ne suis pas fou, il y a un script que je ne maîtrise pas qui tourne quelque part. Sans être sûr que ce soit lié, je suis depuis la cible d'attaques : Avast me bloque plusieurs attaques "DCOM Exploit", détecte et supprime en direct deux tentatives de surinfection de mon ordinateur : un csrss.exe et un trzgrb.exe installés et supprimés 7 ou 8 fois en 30 sec (jusqu'à ce que je coupe le wifi...). Ces attaques n'arrêtent pas. A ce moment là le réflexe a été de contenir l'infection chez moi avant d'y voir plus clair : j'avais déjà du mal avec une station de moisie donc hors de question de me battre sur plusieurs ordi. J'ai donc téléchargé, lu et appliqué ce document trouvé sur votre forum (Je remercie au passage mille fois Gof pour son tutoriel ! ). Antorun désactivé et inhibé, mon pc n'infecte maintenant plus les clés usb que j'y insère. J'ai ensuite téléchargé MBAM, l'ai installé, MAJ et effectué un examen complet. Il m'a trouvé une clé infectée dans le registre, voici son rapport: J'ai ensuite dl et lancé HijackThis dont voici le rapport : Et là je suis bloqué je ne sais pas interpréter un rapport HijackThis. Je vois bien que j'ai une version d'ie toute pourrie (que je n'utilise jamais btw) mais le reste est pour moi du chinois. Quelqu'un serait-il en mesure de me venir en aide ? Par avance merci mille fois ! W.