[Résolu] Tentative d'intrusion

[Mark]

Décidément, y a pas eu moyen pour moi de revenir sur le fofo durant le weekend...

 

J'espère que la machine va toujours bien

 

On va te faire un peu de ménage dans les outils utilisés :

 

- Supprime TDSSKiller.zip, ainsi que le dossier extrait (sur le Bureau). Supprime également le fichier texte généré par l'outil, qui se trouve directement sur le C:\

 

- Supprime DDS.scr (sur ton Bureau) ainsi que ses rapports générés.

 

- Clique sur le bouton Démarrer, puis tape exécuter dans la boîte et valide avec la touche [Entrée]. Tape ensuite la ligne suivante dans la boîte et clique OK :

 

ComboFix /uninstall

(à noter l'espace après "ComboFix")

 

> Ceci va te désinstaller ComboFix proprement. Une barre de progression apparaîtra et ensuite une confirmation. C'est rapide. Il ne faut pas conserver ComboFix car il est mis à jour régulièrement et ne doit pas être utilisé sans supervision, de toute façon.

 

 

============

 

Pour la sécurité de la machine maintenant :

 

Bon je vais pas te cacher que l'infection (ou plutôt les infections) est probablement entrée via un torrent infecté (programme uTorrent dans ton cas). On voit ça tout le temps, sur les forums. Si le système n'était pas à jour et qu'en plus il est modifié, ça n'aide pas non plus. La vieille version de Java qui était présente a pu contribuer aussi.

 

Dans les rapports d'outils, on voit des détections qui confirment des modifications présentes. Par exemple, le processus explorer.exe (vital pour Windows) n'est pas signé numériquement et, d'après mes recherches, serait d'une version "RTM" de Windows 7, c'est-à-dire une version juste avant la sortie officielle du système au grand public. D'autres détections confirment que des Services ne tournent pas (tu me l'as confirmé..). Si le système tourne bien, je ne touche pas à ça, mais d'autres bénévoles de forums pourraient en décider autrement alors je te mets en garde, si tu reviens sur les forums : il est possible qu'un intervenant s'attaque à ces "problèmes", ne sachant pas que ton système est modifié, et ça pourrait aller (statu quo) ; ça pourrait aussi tourner au vinaigre...

Le Service Pack 1 pour Windows 7 fait sa sortie officielle vers la fin de cette semaine, et sera dispo via les mises à jour automatiques. Difficile de savoir quand exactement elle seront offertes, mais je souhaite que tu puisses l'installer malgré l'état actuel de ton Windows 7 ("modifié").

 

Ton antivirus (Nod32 de ESET) est très bon, alors tu peux le conserver sans soucis et maintiens-le à jour, en tout temps. Je vois que Malwarebytes' Anti-Malware est aussi présent sur ta machine, mais n'est probablement pas à jour car il aurait dû détecter une infection que je t'ai virée manuellement. Lance-le et mets-le à jour (onglet "Mise à jour"), puis fais une Analyse Rapide pour contrôle. Si détections, laisse-le tout réparer et fais-moi signe, s.t.p. Juste por info, la version Pro (achat de licence) de Malwarebytes' Anti-Malware possède un module de protection résident avec, en prime, un bloqueur d'adresses IP malveillantes et les MAJ automatiques. Dans ton cas, je le conseillerais...

 

===

===

 

Si commentaires ou questions, faut pas te gêner

 

Surfez prudemment !

 

@+

 

Mark

[soulatp]

Bonjour

 

voilà j'ai tout désinstallé tout est propre

j'ai automatisé la detection des mises à jour de JAVA

 

nous pensons changer d'ici quelques mois cet ordinateur, le nouveau sera livré avec windows 7 non modifié et promis je ne touche à rien

 

 

En ce qui concerne ton conseil sur la version PRO de Malewarebytes' Antimalware, est-il judicieux de laisser tourner 2 "antivirus" ? Ca ne va pas entrer en conflit en sachant que NOD32 bloque également les malwares ?

Au niveau des ressources de l'ordinateur cela ne va t-il pas être trop gourmand ?

 

En attendant il me reste plus qu'à renouveller mes remerciements à toi Mark et toute l'équipe pour l'aide que vous nous apportez

 

++

[Mark]

Bonjour soulatp,

 

Heureux d'avoir pu t'aider

 

La nouvelle machine avec un W7 "conforme" sera mieux sécurisée, c'est clair. Sage décision

 

Pour ce qui est de Malwarebytes' Anti-Malware Pro et son module résident : ce programme est un "anti-malwares" et non un antivirus ; ses concepteurs offrent un moteur qui est complémentaire aux antivirus, donc pas de conflits. Si conflits remontés, c'est généralement très vite corrigé. La plupart des antivirus modernes offrent des détections "anti-spywares", tu as raison, mais les moteurs sont différents alors ça va. Il faut juste éviter de faire tourner Windows Defender ou tout autre "anti-malwares" avec module résident, tels SpyBot ou Ad-Aware, entres autres, pour éviter les conflits. La règle du "un seul antivirus et un seul pare-feu logiciel" tient aussi pour les anti-malwares résident.

Il existe aussi une protection passive, très discrète, qui peut être combinée/ajoutée sans risque de conflits : il s'agit d'un fichier Hosts spécial, conçu pour bloquer les connexions vers des sites identifiés (malveillants). Ça ne bouffe pas de ressources et les blocages sont invisibles, donc efficace lorsque des utilisateurs à haut risque utilisent la machine. Moi j'utilise celui de MVPS (le site est en Anglais) :

Blocking Unwanted Parasites with a Hosts File

 

Voilà. N'hésite pas à venir demander conseil ; nous sommes là pour ça.

 

@+

 

Mark