Sécurisation + nettoyage du PC

[Aramisss]

Bonjour.

Voilà je suis nouvellement inscrit mais j'ai déjà consulté pas mal votre site pour corriger quelques problèmes.

 

 

Avant-hier soir, j'ai connecté une clé USB où un ami m'avait placé des fichiers, cependant lorsque j'en ai ouvert un, une petite surprise m'attendait: mon pare-feu me signale qu'un certain INVITÉ.exe veut se connecter à internet.

 

Je fait donc refuser puis ctrl+alt+suppr pour le gestionnaire des tâches pour le supprimer. Bien sûr impossible à enlever j'ai donc coupé ma connexion internet et n'ayant pu éjecter mon périphérique amovible je l'ai débranché et cela à provoqué le redémarrage de mon PC. Au redémarrage, il n'y avait plus de "INVITÉ.exe" mais un certain "nomdutilisateur.exe" (où "nomdutilisateur" est le nom de ma session, d'ailleurs la dernière fois où ce fichier fût lancé , c'est sur la session invité de mon ami) j'ai lancé spybot: rien (bah il n'était pas à jour mais bon teatimer a empêché ses nombreuses tentatives d'accéder au registre), puis j'ai lancé hijackthis et j'ai supprimé le processus. Depuis pas de problème apparent cependant je ne sais pas si il est totalement éradiqué car le programme ne s'affichait pas quand j'allais dans le dossier d'où il s'exécutait.

 

 

Donc tout ça m'as poussé à vouloir mieux sécuriser mon pc donc j'ai pensé à posté ici pour avoir une aide personnalisée et si possible m'aider à vérifier si ce problème est bel est bien parti ...

 

Merci en tout cas d'avoir lu ce post et merci d'avance aux volontaires ...

[Tibonhomme]

Bonjour Aramiss et bienvenue,

 

S'il s'agit d'une infection type par support amovible qui réclame des outils spécifiques, un helpeur qualifié de l'équipe Sécurité te donnera les instructions à suivre.

 

Si tu disposes toujours de HijackThis, passe directement au rapport.

Pour télécharger HijackThis, suivre ce tutoriel : http://www.libellules.ch/poster_log_hijackthis.php

* Lance HijackThis et clique sur Do a system scan and save a logfile

* Copie-colle le contenu complet du rapport dans ton prochain message selon la méthode indiquée dans le tutoriel.

Si tu as correctement installé HijackThis à la racine de C:, tu dois avoir un fichier de backup :

* Retour au menu principal, clique sur View the list of backups et copie également la ligne ou les lignes des processus supprimés (ne les coche pas et ne les restaure pas).

 

Cordialement

[Aramisss]

Merci de ta réponse (j'ai oublié de posté mon log avant ^^)

Modifié le 17 janvier 2010 par Aramisss

[Tibonhomme]

Ta version d'HijackThis est obsolète!

 

Dans un premier temps, peux-tu, s'il te plaît, faire une copie des lignes inscrites en Backup selon ce que je t'ai indiqué dans mon 1er message?

Cela permettra de voir ce que tu as supprimé.

 

Edit : n'installe pas de nouvelle version avant d'avoir indiqué les processus supprimés.

 

A te lire

Modifié le 26 octobre 2009 par Tibonhomme

[Aramisss]

Oups désolé.

La voici :

25/10/2009, Aramis - 00:24:14: O4 - HKCU\..\Run:[Chumanitutankas] C:\Documents and Settings\Chumanitutankas\Chumanitutankas.exe

(Je n'ai pas pu accéder à un log texte, je l'ai copié au clavier)

[Tibonhomme]

Merci Aramisss,

 

Je ne sais si ce processus est effectivement une infection (je ne vois pas d'info dessus), ni de quoi il retourne réellement.

Un membre de l'équipe Sécurité t'indiquera comment procéder.

Ne supprime pas le backup, au cas ou un helper aurait besoin que tu lui remontes le fichier, ni donc la version de HijackThis installée, pour le moment.

 

Bonne continuation

A plus tard

[Aramisss]

Ce processus à pris mon nom d'utilisateur, normal que tu ne trouve rien (j'ai fait pas mal de recherches avant de passer ^^) ...

Edit (pour éviter de rajouter un message): OK ^^

Modifié le 26 octobre 2009 par Aramisss

[Tibonhomme]

Oui, j'avais bien compris ce paramètre (que tu expliques dans ton 1er message).

Je me suis mal exprimé : je n'ai, en revanche, pas d'information sur ce type d'infection, ni ne sais si c'est ce type de processus lui-même qui est la source ou si il est lié à autre chose.

 

Edit : je me demande s'il ne s'agit pas d'un dropper

 

Les helpers qualifiés connaissent certainement la réponse

 

Cordialement

Modifié le 26 octobre 2009 par Tibonhomme

[oGu]

Salut à vous deux!

 

Ton cas est intéressant Aramiss! As-tu supprimé le fichier incriminé? Si non, j'aimerais le récupérer:

 

 

UPLOAD DES MENACES

 

Télécharge la toute dernière version de CatchMe ici:

http://www2.gmer.net/catchme.exe

 

• Double clique sur catchme.exe : une fenêtre noire s'ouvre, on patiente, puis une interface graphique apparaît.
  
• Clique sur le bouton "ADD" et va chercher le fichier C:\Documents and Settings\Chumanitutankas\Chumanitutankas.exe (il apparaîtra dans la liste)
   
  
• Clique enfin sur le bouton "ZIP" et un zip sera créé sur le bureau, contenant les fichiers. Il se nomme "catchme.zip"
   
  
• Uploade ensuite ce zip sur le site SENDUIT: clique sur ce lien:
   
  http://www.senduit.com/
   
  puis sélectionne le zip en cliquant sur "parcourir".
  
• Donne-lui une durée de vie de 72 heures en réglant la catégorie "Expire in" sur "3 days".
  
• Uploade ensuite le zip en cliquant sur le bouton "Upload".
  
• SENDUIT va générer le lien vers le fichier, avec une adresse de type http://senduit.com/xxxxxx: communique-moi ce lien en m'envoyant un message privé.
  

 

 

Ensuite branche tes supports USB possiblement infectés, puis:

 

 

MALWAREBYTES ANTI-MALWARE

 

Télécharge Malwarebytes Antimalware en cliquant sur cette image:

 

 

• Installe-le: une mise à jour doit normalement s'exécuter toute seule
  
• Une fois installé, lance-le en double-cliquant sur le raccourci
  
• Connecte tes clés USB et ton disque dur externe
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche"
  
• Sélectionne "Exécuter un examen complet":
  
  
• Clique sur "Rechercher"
  
• Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques:
  
  
• Lance le scan en cliquant sur le bouton "Lancer l'examen"
  
• A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  
• Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
  
• Si des malwares ont été détectés, leur liste s'affiche.
  En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le
  
• Redémarre ton PC
  

 

 

Enfin on va regarder en détail les points de montage de tes supports USB:

 

RSIT

• Télécharge sur ton Bureau random's system information tool (RSIT) par random/random en cliquant sur cette image:
   
  

 
 
Double-clique sur RSIT.exe afin de lancer RSIT
Clique Continue à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Modifié le 26 octobre 2009 par oGu

[Aramisss]

Malwarebyte n'a rien trouvé (je l'avais lancé il y a quelques temps) ...

Modifié le 17 janvier 2010 par Aramisss