cocktail d'infections !

[alias87]

Bonjour à tous le monde !

 

j'ouvre ce sujet à la suite d'un premier sujet dans la section "sécurisation, prévention" qui est ici

 

comme me l'a expliqué Bleuet, mon pc semblerait être "un panier crabe" d'après lui

 

j'ai un rapport zhpdiag ici

 

donc si quelqu'un aurait l'amabilité de m'indiquer la procédure à suivre pour nettoyer mon pc, ce serait sympa

[pear]

Bonsoir,

 

Téléchargez AD-Remover sur le bureau

 

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après :Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le prgramme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Nettoyage du registre Passer en Mode 2

Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine

Pour supprimer un proxy[/b] Passer en Mode 4

Pour corriger les Dns Passer en Mode 5

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6[/color]

Lancez succesivement toutes les options

Un rapport (RKreport.txt) apparaitra sur le bureau

 

En Copier/Coller le contenu dans la réponse

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection

, ("Malicious objects")

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

[alias87]

Merci à tous les deux pour vos réponses (pear et bernard53),

comme vos réponses sont proches l'une de l'autre dans le temps je pense que vous avez posté presque simultanément,

 

j'ai commencé par faire les choses dans l'ordre donc par suivre les recommandations de pear :

 

1) voici le rapport de ad-remover après avoir scanner : scan ad-remover

 

2)voici le rapport de ad-remover après avoir nettoyer : clean ad-remover

 

3) j'ai ensuite utiliser rogueKiller : j'ai procédé aux 6 étapes qui m'ont permis de faire un grand nettoyage et de retrouver des dossiers égarés, voici le dernier rapport de l'étape 6 : ici

 

4) j'ai ensuite utiliser MBAM qui m'a détecté 9 infections, voici le rapport après nettoyage : rapport MBAM

 

5) et pour finir le rapport de TDSSkiller : rapport TDDSkiller

 

voilà, toutes les étapes ont été suivi à la lettre penses-tu pear que le PC est à présent clean au vue des rapports ?

 

merci de ton aide ainsi que celle de bernard53

Modifié le 3 juin 2011 par alias87

[pear]

Bonjour,

 

Plus propre, certainement, clean c'est à voir.

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

La console de Récupération

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Les utilisateurs de Windows Vista,Seven peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE)

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[alias87]

j'ai suivi toute la procédure

 

les étapes avec combofix se sont bien déroulées, le pc a rebouté tout seul et j'ai otbenu le rapport combofix que voici : rapport combofix

 

j'ai simplement oublier de brancher mon disque disque externe que j'utilise très souvent lors du scan de combofix, faut-il que je renouvelle l'opération ?

[pear]

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

Fcopy::

c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

Ouvrez Combofix

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

 

Java n'est pas à jour,donc vulnérable.

Téléchargez Javara

vers le bureau.

Dézippez.

lancez Javara.exe

clic sur mise à jour via jucheck

 

ou , si vous préférez par le site de Sun:

Download Now

S'ouvre une nouvelle page.

Vous descendrez là:

Java Runtime Environment (JRE) 6 Update 25

Clic sur Download

Nouvelle page.

Sélectionnez votre platform->Windows

Cochez "I agree to the java..."

clic sur continue

Nouvelle page

Cochez:

Windows Online Installation

Cochez la flèche orange

" Cochez ici"jre-6u24-windows-i586-p-iftw.exe

 

clic sur installer

 

Revenez dans JavaRa

 

Cliquez Effacer les anciennes versions

Puis..... Autres Options ->Cocher Effacer les fichiers JRE Inutiles ->Exécuter

 

 

Je vous rappele, au cas où vous l'auriez oublié , que le P2P est la principale source d'infections.

Soyez plus prudent!

[alias87]

Bonjour Pear,

 

j'ai suivi à nouveau les différentes étapes :

 

1) Combo Nettoyage : pour cette étape lorsque je fais un glisser/déposer de CFScript.txt sur le fichier combofix.exe il n'y a pas de message "Type 1 to continue, or 2 to abort", il suit exactement la même procédure que lorsque je l'ai utilisé pour la première fois, et j'obtiens ce rapport : rapport combofix 2

 

2) pour la Mise à jour de java avec Javara : j'ai utilisé le site de Sun, voici les deux rapports que me donne Javara : rapport Javara et le rapport Javara Removal log

 

par contre au moment de choisir l'option : Effacer les fichiers JRE inutiles -> Exectuer , une fenêtre s'est ouverte dans laquelle était écrit : "Klar att söka efter meningslös JRE filer", est-ce normal ?

[pear]

Bonsoir,

 

Combofix vous a restitué un atapi.sys correct.

De ce côté, c'est correct.

 

Pour Javara, je ne sais pas le "javanais".

 

Pour achever la procédure, tentez de supprimer les versions antérieures de Java par Ajout/Suppression de programmes.

[alias87]

Bonsoir Pear,

 

merci beaucoup pour ton aide et ton expertise

 

j'avais deux questions à te poser :

 

1) penses-tu qu'à présent le pc est clean ?

 

2) au delà des recommandations d'usage (pas de P2P, éviter les toolbars, les sites douteux ...) que me recommandes-tu d'utiliser en termes d'outils pour éviter les futurs infections ?

est-ce que ma configuration actuelle en terme de sécurité convient :

*antivirus : avast

*antimalware : MBAM

*firewall : zonealarm

*un coup de Ccleaner régulièrement

*me connecter sur le net à partir d'une session utilisateur

*et pour la base de registre : Glary utilities

 

merci encore un fois pour tout Pear,

[pear]

Bonjour,

 

Le pc est propre et vos protections suffisantes.

 

Glary, par contre, ne s'impose pas.Il est dangereux de toucher au régistre sans connaissances suffisantes.

Il faut savoir que supprimer quelques clés inutiles n'apportera rien en termes de souplesse ou rapidité à votre pc.