Sécurisation + nettoyage du PC

[Aramisss]

Voilà le log après plus de 11h d'analyse (-_-). En fait ce que j'ai fait , c'est qu'après qu'il ait fini d'analyser poste de travail (donc mon disque dur + supports amovibles) , lorsqu'il a changé de cible (qu'il a ré analysé mon disque dur) je l'ai stoppé.

Sur le PC il n'y avait rien (enfin rien de détecté hors des zones de quarantaine) , seulement le fameux processus sur 2 de mes supports amovibles , avast avait bel et bien supprimé celui présent sur la clé usb.

Durant l'analyse , j'ai raccourci le temps d'analyse de fichiers que je savais sûr.

Voici le log:

Modifié le 17 janvier 2010 par Aramisss

[oGu]

Salut!

 

 

ESET n'a rien mis à jour d'intéressant en effet...cela devient désespérant !!

 

 

On va nettoyer les clés pour que tu ais la paix en attendant la suite :

 

USBFIX

 

Connecte TOUS tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc.

 

Télécharge USBFix de C_XX & Chiquitine29 sur ton Bureau en cliquant sur cette image :

 

• Double-clique sur le fichier pour l'installer.
  
• Double-clique sur le raccourci pour exécuter l'outil
  
• Sélectionne 1 puis laisse l'outil travailler
  Poste le rapport stp.
  

[Aramisss]

Le voilà :

Juste une chose avant , peut tu me dire tout ce que je devrai faire parce qu'à partir de mardi soir je ne serais plus chez moi , c'est pour prendre de l'avance ...

Modifié le 17 janvier 2010 par Aramisss

[oGu]

Re!

 

Supprime ces cracks :

C:\Documents and Settings\Chumanitutankas\Mes documents\Games\G-Police\GPCRACK\Gpcrack.exe

C:\Documents and Settings\Chumanitutankas\Mes documents\Games\G-Police\GPOLICE\CRACK.EXE

C:\Cavedog\Kingdoms\Total Annihilation-Kingdoms-crack.zip

 

 

 

USBFIX

 

Connecte TOUS tes supports amovibles comme clés usb, carte flash, disque externe, lecteur mp3, etc.

• Relance USB Fix et choisis cette fois l'option 2, valide avec la touche Entrée.
  
• Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
  
• Le nettoyage va prendre quelques minutes... Appuies sur OK sur la fenêtre d'informations.
  
• Le fix peut avoir besoin de redémarrer l'ordinateur, un message t'en avertit, tu dois donc appuyer sur une touche.
  
• Au redémarrage, le fix se relance... laisse l'opération s'effectuer.
  
• Un rapport de nettoyage est proposé... appuies sur une touche pour ouvrir ce rapport.
   
  Colle le rapport ici stp.
  

 

 

Ensuite, vaccine tes clés USB et ton PC contre les worms autorun en utilisant ce logiciel : http://www.libellules.ch/dotclear/index.ph...nda-USB-Vaccine

 

Il te suffit de cliquer sur "Vaccinate Computer" puis de cliquer sur "vaccinate USB" en choisissant chacun de tes support dans le menu déroulant.

 

 

Pour la suite, à l'heure actuelle je (on!) ne peux pas te répondre : sache que nous sommes plusieurs à travailler sur des sujets similaires, qui avancent peu et nous font faire du souci...Je n'ai jamais galéré autant sur un sujet de désinfection!

Dès que le brainstorming a donné des pistes intéressantes, je te préviendrai.

 

Bye!

[Aramisss]

J'en profite une nouvelle fois pour te remercier ...

Alors j'ai fait la manip sauf qu'au redemmarage du PC mon MP4 s'était déconnecté et je ne m'en étais pas rendu compte. Ce n'est qu'après la vaccination que je me suis rendu compte qu'il me manquais un lecteur , donc j'ai tout reconnecté , relance USBFix , je l'ai reconnecté (mon MP4) lors du démarrage , il a supprimé les fichiers et je l'ai vacciné par dessus.

Bonne nouvelle : mes supports n'apparaissent plus sous forme d'un dossier.

Je te colle donc les deux rapports :

Modifié le 17 janvier 2010 par Aramisss

[Aramisss]

Euh, plusieurs choses:

Premièrement, je viens de relire les logs et le F:\autorun.inf (F est mon MP4) n'a pas été supprimé et la vaccination s'est faite dessus, c'est grave ?

Ensuite, pour le fonctionnement de la vaccination, admettons que je connecte une clé USB vacciné à un ordinateur contaminé, que je copie des choses dessus en faisant explorer (les fichiers pris n'étant pas contaminés), ma clé est-elle porteuse d'une contamination du type "support amovible" ?

Et enfin, je remplace Norton par quel antivirus et quel pare-feu ?

[oGu]

Alors :

 

1. la vaccination remplace le fichier autorun lié au malware (ce fichier permet au virus de se lancer tout seul à l'ouverture du support USB) par un autorun sain et très protégé. En contrepartie, la clé ne se lance plus seule à son introduction ; il faut aller la chercher dans le Poste de travail. Donc, peu importe que USBFix n'ait pas supprimé l'autorun. Par contre, assure-toi qu'à l'ouverture de ce lecteur, chumanitutankas.exe ne se lance pas (a priori, il n'est plus là)
   
2. si tu m'as bien suivi, tu verras qu'en introduisant ta clé sur un PC infecté, le malware ne pourra pas se copier correctement sur ta clé, vu qu'il ne pourra pas modifier l'autorun à sa convenance. Au pire, tu te retrouveras avec un malware incapable de se lancer (sauf si tu double-clique dessus^^)
   Lis cet article de Gof si ça t'intéresse (pas totalement à jour, il est en train de bosser dessus) :
   http://forum.zebulon.fr/index.php?autocom=...p;showentry=540
   
3. le pare-feu XP est suffisant, à moins que tu sois prêt à apprendre à utiliser un pare-feu HIPS -plus performant, mais plus compliqué à prendre en main, et de toute façon trop dangereux à utilsier sur une machine encore infectée. On verra ça plus tard si on arrive à nettoyer ton PC.
   
4. tu peux remplacer Norton par Antivir : veux-tu que je te poste la procédure détaillée pour cette opération? Souvent Norton se désinstalle mal, donc il y a des astuces à mettre en oeuvre (qui sont simples)
   

[Aramisss]

Je sais qu'il y a des utilitaires pour aider à la désinstallation de norton sur le site de symantec mais si tu as un truc de tout fait (enfin tout expliqué avec les liens) je suis preneur...

Mais bon je préfèrerai le faire en même temps que l'installation du pare feu car norton en a un donc en supprimant l'antivirus on supprime aussi le parefeu (que je trouve assez efficace , du moins, meilleur que celui d'XP)

D'ailleurs ,

On verra ça plus tard si on arrive à nettoyer ton PC

==> Il n'est pas nettoyé maintenant ?

[oGu]

Ben non, le rootkit est encore en activité, dans me Master Boot Record. Et tu as vu ce qu'il s'est passé quand on s'est attaqué aux drivers que tdss semble utiliser...

 

 

DESINSTALLER NORTON

• Télécharge Norton Removal Tool sur ton bureau
  
• Lance-le
  
  
• ATTENTION: cet outil désinstalle tous les produits NORTON: assure-toi que ce PC ne comporte pas des logiciels Norton que tu souhaites conserver, autre que l'antivirus (ex: Norton Ghost, Norton Commander...)
  
• Suis les instructions
  
• Redémarre l'ordinateur
  

 

 

INSTALLER ANTIVIR

• Antivir est un antivirus gratuit, efficace et léger, maintenant en français, dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).
   
  
• Télécharge Antivir en cliquant sur l'image:
   
  
   
  
• Installe-le
  
• Configure-le en suivant le tuto de Falkra
  

 

 

PS: Quand un fichier infecté est détecté par Antivir, une fenêtre semblable à celle-ci s'ouvre:

 

 

Antivir te demande ce qu'il doit faire du fichier infecté.

Choisis Déplacer en quarantaine puis clique sur OK.

 

Tu peux automatiser ce type d'action en cochant une case), comme ci dessous :

 

Cela permet de ne pas rester à la surveiller.

 

Mets-le à jour puis lance une analyse complète.

Poste le rapport obtenu stp.

 

 

Pour le firewall, j'utilise Online Armor Free, qui est très correct :

 

http://www.libellules.ch/dotclear/index.ph...line-Armor-free

 

Mais comme c'est le cas pour les firewalls modernes, il embarque un HIPS (désactivable néanmoins), et c'est ça qui fait sa force : mais comme tous les HIPS, il faut savoir l'utiliser...

Modifié le 23 novembre 2009 par oGu

[Aramisss]

Il est possible de désinstaller juste l'antivirus et de garder internet security , ou il va y avoir incompatibilité ?

Pour le lien vers antivir, j'ai pris celui du tuto, l'autre met trop de temps ...