Infection par routing.exe, andt.sys, indt2.sys

[G-Fox]

Voici le rapport Ewido :

 

__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: TrackingCookie.Serving-sys

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@bs.serving-sys[2].txt

Risk: Medium

 

Name: TrackingCookie.Weborama

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@cetelem.solution.weborama[2].txt

Risk: Medium

 

Name: TrackingCookie.2o7

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@msnportal.112.2o7[1].txt

Risk: Medium

 

Name: TrackingCookie.Overture

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@overture[2].txt

Risk: Medium

 

Name: TrackingCookie.Serving-sys

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@serving-sys[2].txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@smartadserver[2].txt

Risk: Medium

 

Name: TrackingCookie.Weborama

Path: C:\Documents and Settings\GALLOT\Cookies\gallot@weborama[1].txt

Risk: Medium

 

Name: TrackingCookie.Information

Path: C:\Documents and Settings\LocalService\Cookies\system@searchportal.information[1].txt

Risk: Medium

 

Name: Not-A-Virus.Adware.AlexaBar

Path: C:\QooBox\Quarantine\C\WINDOWS\system32\tmp1_493611415740.bk.vir

Risk: Low

 

Name: Not-A-Virus.Adware.AlexaBar

Path: C:\QooBox\Quarantine\C\WINDOWS\system32\tmp2_327675797100.bk.vir

Risk: Low

 

Name: Downloader.Delf.eqa

Path: C:\System Volume Information\_restore{35D14AB1-D269-445C-9D96-ECEE246E72A9}\RP629\A0230103.exe

Risk: High

 

 

Voici le rapport Malwarebyte :

 

Malwarebytes' Anti-Malware 1.17

Version de la base de données: 861

 

21:41:43 16/06/2008

mbam-log-6-16-2008 (21-41-43).txt

 

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|)

Eléments examinés: 140966

Temps écoulé: 59 minute(s), 28 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Information Center (Trojan.Zlob) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\andt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[G-Fox]

Désolé, mais je n'ai pas pu sauvé mon rapport Kaspersky.

 

J'attends de tes news.

 

Merci

Modifié le 19 juin 2008 par G-Fox

[oGu]

Yop!

 

Navré pour le retard!

 

Tant pis pour le rapport Kaspersky: t'avait-il détecté quelque chose?

 

Sinon comme tu as pu le constater, MBAM a supprimé le driver andt.sys: on peut donc raisonnablement conclure qu'il était infectieux, confirmant mes doutes. On a bien fait de le laisser en quarantaine !

 

 

On continue le nettoyage:

 

NETTOYER LES POINTS DE RESTAURATION

• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquer sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  
• Redémarrer
  
• Puis:
  
• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquer sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  

 

 

 

 

EWIDO

 

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Connecte éventuellement tes clés USB et disques externes.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, FERME TES NAVIGATEURS puis clique sur Remove infections
  

[/b]

 

 

 

DESINSTALLER COMBOFIX

 

Clique sur Démarrer, puis sur Exécuter

• Tape combofix /u et appuie sur Entrée <-- Attention, l'espace entre le "x" et le "/" est important
  
  

 

 

SUPPRESSION DES LOGICIELS DE DESINFECTION et des Backups

 

Explications: Les logiciels que je t'ai fait utiliser ne doivent pas être utilisés sans connaissances sur leurs fonctions et leurs rôles (mis à part Ewido et Malwarebytes qu'il faut conserver et utiliser à l'occasion, une fois par mois): mal utilisés, ils peuvent faire plus de mal que de bien. Nous allons donc les désinstaller.

• Télécharge Tools Cleaner de A.Rothstein sur ton bureau
  
• Lance-le avec un double-clic
  
• Clique sur "rechercher"
  
• Clique sur "suppression"
  
• Ferme Tools Cleaner et efface-le
  

 

 

Souhaites-tu pour terminer une procédure de sécurisation de ta machine?

[G-Fox]

NETTOYER LES POINTS DE RESTAURATION

• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquer sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  
• Redémarrer
  
• Puis:
  
• Aller dans le menu "Démarrer"
  
• Cliquer droit sur l'icone "Poste de travail"
  
• Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  
• Cliquer sur "Appliquer."
  
• Lorsque le message de confirmation apparaît, cliquer sur "Oui"
  
  
• Cliquer enfin sur "OK".
  

 

Souhaites-tu pour terminer une procédure de sécurisation de ta machine ?

 

Dans Poste de travail, je n'ai pas l'onglet 'Restauration du système'.

Que faire ?

 

Souhaites-tu pour terminer une procédure de sécurisation de ta machine ?

C'est à dire ? En quoi ça consiste ?

[oGu]

Dans Poste de travail, je n'ai pas l'onglet 'Restauration du système'.

Que faire ?

 

?? Tu es sûr? En faisant un clic droit sur l'icône Poste de Travail de ton Bureau, et en sélectionnant Propriétés, t'as rien non plus?

 

 

Souhaites-tu pour terminer une procédure de sécurisation de ta machine ?

C'est à dire ? En quoi ça consiste ?

 

Quels réglages effectuer, quels logiciels installer, comment les configurer, quels sont les réflexes de surf à adopter...Un ensemble de petites choses simples, gratuites, efficaces.

[G-Fox]

C'est OK, j'ai tout fait.

Merci beaucoup.

 

Je suis preneur pour les "trucs" de sécurisation.

 

Et encore merci

[oGu]

SECURISER SON PC

 

 

 

 

Ce ne sont que des conseils basiques, ils ne sont en rien exhaustifs, mais ils sont efficaces et relativement faciles à mettre en place, à condition de prendre le temps de tout lire et comprendre.

 

Si tu as des questions n'hésite pas!!

 

 

 

Quelques règles de base à respecter en sécurité:

• je mets à jour mon XP avec Windows Update
  
• j'abandonne le peer-to-peer, qui draîne fakes, infections et virus déguisés en cracks.
  
• ne jamais télécharger n'importe quoi sans se renseigner
  
• ne jamais installer n'importe quoi sans se renseigner:: attention aux faux logiciels, les rogues, dont Assite tient une liste à jour:
  La Crapthèque
  
• j'ai un doute sur un fichier, un programme, un exécutable? Je le scanne avec VirusTotal:
  
• je me méfie des sites X (et des sites de cracks et warez), très souvent piégés.
  
• je me méfie des sites de jeux en lignes (surtout de type Casino et Poker), très souvent piégés.
  
• ne pas faire une confiance aveugle aux logiciels de protection: ils sont tous faillibles.
  
• je me méfie des mails que je reçois
  
• je me méfie des "conseils" de mes amis et collègues qui n'y connaissent rien de plus que moi, en réalité...
  
• je en connecte pas mes clés USB n'importe où
  
• je me méfie de MSN, Windows live Messenger etc..., cibles d'infections quotidiennes
  
• je sauvegarde les données perso régulièrement, sur DVD ou disque externe
  
• la première cause d'infection est le manque de prudence et de discernement de l'internaute
  
• je ne clique pas sur n'importe quoi et je me méfie du Net, qui est autant un espace de loisir qu'un espace de profits, où certains sont sans foi ni loi.
  

 

 

 

 

CREER UN COMPTE LIMITE

 

Explications: Pour sécuriser ta machine lors des surfs, la première chose à faire est de créer un COMPTE LIMITE sur ta machine: dorénavant, tes amis, enfants etc... se connecteront sur ce compte pour surfer ou chatter, et ainsi aucun ver, virus, codec porno infectieux, trojan (la liste est longue!) etc... ne pourra s'installer ou s'éxecuter, car les comptes limités INTERDISENT ces actions sur ton PC. C'est la plus simple et la plus efficace des protections.

 

Ton compte actuel, qui est ADMINISTRATEUR, pourra être utilisé pour de la maintenance, des installations de logiciels etc...Tu pourras l'utiliser seul, en connaissance de cause, et laisser aux autres le compte limité.

 

[/color][/color]

• 
  
• Va dans le "Panneau de configuration"
  
• Dans l'onglet "Compte utilisateur", crée un nouveau compte :
   
  
  
• Règle-le sur "Compte limité" :
   
  
   
   
   
  INSTALLER UN HOSTS
  
  • 
    
  • Explications: Un hosts est un simple fichier texte recensant les sites à risque (contenant des exploits, des failles de sécurité, des virus etc...); ce fichier va INTERDIRE à ta machine de s'y connecter. Simple et redoutable! On va utiliser un logiciel qui automatise la création d'un hosts: HpHosts
    
    
  • Télécharge le logiciel HpHosts
    
  • Installe-le en cliquant successivement sur "next" puis "install"
    
  • Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
     
    
    
    
  • Redémarre
    
  • Supprime HpHosts
    

   

   

   

  FERMER LES PORTS

   

  Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon

   

  • 
    
  • Télécharge le logiciel ZebProtect
    
  • Suis le tuto de Tesgaz
    

   

   

   

   

  RENFORCER LE REGISTRE

   

  Explications: par défaut, le registre de Windows n'est pas optimisé pour combattre certains risques sécuritaires: en renforçant le registre avec un peu de "hardening" (= création et modifications de clés), on sécurise le système contre certaines attaques ciblées. Un logiciel automatise ces modifications (qui sont dangereuses et difficiles à faire à la main): ZigStack

   

  • 
    
  • Télécharge le logiciel ZigStack
    
  • Décompresse l'archive sur ton bureau et ouvre le dossier "bin".
    
  • Clique sur l'exécutable Zigstack.
    
  • Clique en bas sur "select all" puis sur " set hardening".
    
  • Redémarre.
    
  • Pour voir si cela a fonctionné ouvre à nouveau Zigstack et assure-toi que chaque élément soit "enabled" (colonne à droite).
    
  • Si oui tu peux supprimer Zigstack de ton PC.
    

   

   

   

  SECURISER TA BOX

   

  Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée.

   

   

   

   

  PROTEGER LE NAVIGATEUR, LA MESSAGERIE et ton logiciel de TCHAT

   

  Explications: ces 3 catégories de logiciels sont les premiers pourvoyeurs de virus car ils se conncetent au net: en restreignant leurs droits, tu limite drastiquement les risques que des virus se faufilent par ton navigateur ou tes mails . Un logiciel permet de restreindre les droits: StripMyRights

   

  Suis mon petit tuto sur Libellules.

   

   

   

   

  UTILISER ET SECURISER FIREFOX

   

  Explications: Firefox est un navigateur mieux protégé que Internet Explorer, et qui permet via des extensions de le rendre encore plus sécuritaire.

   

  • 
    
  • Utilise exclusivement FIREFOX
    
  • Sécurise-le avec les extensions suivantes:
    • installe l'extension AdBlock Plus contre les publicités.
      
    • avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, en milieu de page, sur cette image
      
    • extension Customize Google:disparation des pubs Google et anonymisation des cookies Google[/b]
      
    • extension FlashBlock
      

   

   

   

   

  NETTOYER LES FICHIERS TEMPORAIRES

   

  Explications: les fichiers temporaires, en plus d'avoir une utilité limitée dans le temps, sont un emplacement privilégié pour les droppers et virus. Il faut donc les supprimer de temsp à autres avec CCleaner.

   

  • LanceCCleaner Slim régulièrement:
    
  • Clique sur l'onglet "Nettoyeur"
    
  • Clique sur le bouton "Lancer le nettoyage"
    

   

   

   

  VACCINER SON PC CONTRE LES INFECTIONS de CLES USB

   

  Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB

   

   

  • 
    
  • Télécharge VaccinUSB de Gof
    ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!!
    
  • Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB
    
  • Double-clique dessus
    

   

  -----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus.

   

   

  Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant.

   

   

   

   

  KERIO et WINDOWS DEFENDER

   

  Installe Windows Defender: ce n'est pas le meilleur antispy résident, mais en gratuit le choix est très limité.

   

  Tuto WinDefender par MALEKAL

   

  Il complétera Kaspersky.

   

   

   

  Si tu te sens d'attaque, essaie d'installer et de régler/utiliser le pare-feu Kerio, plus performant que celui de XP:

   

  Tuto de Malekal

   

  Si tu trouves ça trop ardu, il vaut mieux se contenter du firewall XP par défaut.

   

   

   

   

  EWIDO & MALWAREBYTES ANTIMALWARE

   

  Télécharge-les en cliquant sur les deux images:

   

  

   

   

  

   

   

  Garde ces deux antispywares gratuits et lance un scan tous les mois: si le rapport est positif, poste un message d'aide sur le forum en joignant le rapport.

   

   

  XP ANTISPY

   

  Télécharge et installe XP Antispy

   

  Lance-le, clique en haut sur "Profil: recommandé" puis sur "Appliquer les changements".

   

  

   

   

   

  DEFRAGMENTATION

   

  Si tu ne disposes pas de ton propre défragmenteur (autre que celui de Windows, qui est peu efficace):

   

  Télécharge et installe JKDefrag

   

  Lance-le et laisse-le défragmenter ta machine (cela peut prendre du temps)