[Résolu] Security Sphere 2012 / Infection

[lance_yien]

Tu viens de supprimer, avec TDSSKiller, une très grosse et méchante bête: Un rootkit du type TDL4

 

...

16:57:50.0265 2812 ============================================================

16:57:50.0265 2812 Scan finished

16:57:50.0265 2812 ============================================================

16:57:50.0281 3820 Detected object count: 1

16:57:50.0281 3820 Actual detected object count: 1

16:58:34.0796 3820 \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - will be cured on reboot

16:58:34.0796 3820 \Device\Harddisk0\DR0 - ok

16:58:34.0796 3820 \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - User select action: Cure

...

--

 

>>> Suppression de services: Cliquer sur "Démarrer" => "Exécuter". Saisir notepad et cliquer sur "OK".

Copier/ Coller le texte en citation ci-dessous commençant par @.

Cliquer sur "Fichier" => "Enregistrer" puis sur "Bureau" (à gauche).

Dans "Nom du fichier:", saisir (ou coller) FixServices.bat.

Dans "Type:", sélectionner "Tous les fichiers"

Cliquer enfin sur "Enregistrer" en bas à droite.

Fermer tout et double-cliquer sur FixServices.bat. Redémarrer le PC.

@echo off

sc stop PDRFRAME

sc delete PDRFRAME

sc stop PDRELI

sc delete PDRELI

sc stop PDFRAME

sc delete PDFRAME

sc stop PDCOMP

sc delete PDCOMP

exit

 

Tu ne devrais plus avoir de problèmes. Est-ce que c'est le cas?

 

Bonne soirée!

[Brylama]

Bonsoir,

 

 

Brrr quelle horreur!! Heureuse d'en être débarrassée! Mais j'ai encore besoin d'être rassurée; lorsque TDSKILLER à analysé et qu'il l'a trouvé, je n'ai rien touché comme demandé, je n'ai donc pas appuyé sur la touche cure! c'est bien ce qu'il fallait faire, hein? Je pense que oui, mais bon... besoin d'en être certaine.

 

 

Pour le moment, l'ordi fonctionne plutôt bien...à voir dans le temps sans doute.

Je suppose quand même que je vais devoir penser à investir dans un disque dur?

 

 

En tous cas merci beaucoup pour votre aide! très précieuse dailleurs! comment je peux faire pour vous remerciez à la hauteur du travail que vous faites! C'est votre job? ou la passion a pris le dessus?

En tous les cas, "chapeau"!

 

Bonne soirée

 

Cordialement, Brylama

[Dylav]

Bonsoir Brylama,

 

Dès que tu considéreras la question réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet. Pour ce faire, je te suggère de consulter ce tutoriel de Thorgal…

 

@+

Dylav

[lance_yien]

Bonjour,

 

Bonsoir,

 

 

Brrr quelle horreur!! Heureuse d'en être débarrassée! Mais j'ai encore besoin d'être rassurée; lorsque TDSKILLER à analysé et qu'il l'a trouvé, je n'ai rien touché comme demandé, je n'ai donc pas appuyé sur la touche cure! c'est bien ce qu'il fallait faire, hein? Je pense que oui, mais bon... besoin d'en être certaine.

Tu n'a rien changé mai tu as cliqué sur "Continue" comme indiqué. Tu as donc bien fait les choses

 

En tout cas l'infection semble bien partie (confirmé par le rapport de aswMBR).

 

... Je suppose quand même que je vais devoir penser à investir dans un disque dur?

Très bonne idée! Les DD externes ne sont pas si chers que ça.

 

En tous cas merci beaucoup pour votre aide! très précieuse dailleurs! comment je peux faire pour vous remerciez à la hauteur du travail que vous faites! C'est votre job? ou la passion a pris le dessus?

Juste une passion et un petit merci sincère est largement suffisant pour nous encourager à continuer.

--

 

Pour en finir, voici quelques suggestion pour t'aider à prendre soin de ta machine (ignore les points déjà traités ou ne s'appliquant pas à ton système).

 

 

>>> Supprimer les utilitaires: Pour supprimer les 2 derniers utilitaires et leur rapports (sur le Bureau et/ou à la racine de la partition système), cliquer-droit dessus => "Supprimer".

 

 

>>> Ré-initialiser les Points de Restauration parce qu'elles peuvent contenir des traces d'infection:

Cliquer-droit sur "Poste de travail" => "Propriétés" => "Restauration Système". Cocher la case "désactiver..." et cliquer sur "appliquer".

Quand c'est prêt, décocher cette même case => "OK" et redémarrer le PC. Un nouveau point de restauration sera créé automatiquement.

 

 

>>> Optimiser Windows:

 

• Il y a toujours des programmes qui se lancent inutilement en même temps que Windows.
  Télécharger, sur le Bureau, MBAM' StartUpLite depuis ici.
  Fermer toutes les applications et autres fenêtres en cours et double-cliquer sur StartUpLite.exe Vista W7, cliquer-droit => "Exécuter en tant qu'administrateur") pour lancer le programme qui affichera toutes les entrées inutiles en démarrage automatique. Sélectionner les entrées affichées et cliquer sur "Continue" (à moins que vous vouliez en garder).
  S'il affiche "No unnecessary startups found!", c'est qu'il n'y a rien à faire.
  On peut, aussi, utiliser CCleaner pour gérer l'activité de ces processus:
  Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner un processus marqué "Oui" et cliquer sur le bouton "Désactiver".
  Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas d'incidences apparentes (réactiver le processus si nécessaire).
  
• Utiliser PureRa pour compléter le nettoyage du DD avec CCleaner.

 

>>> Protéger/ Sécuriser: UN SEUL antivirus + UN SEUL pare-feu + UN SEUL antispyware.

• Y a-t-il un Pare-feu dans la machine? Un pare-feu est le 1er rempart contre les intrusions.
  - Ceux de Vista et Windows 7 peuvent suffire. Ils sont là et autant s'en servir au moins par gain de place et de ressources. Juste contrôler et activer si nécessaire depuis le "Centre de sécurité".
  - Celui inclus dans Windows XP ne contrôle pas le flux sortant d'Internet d'où l'importance d'en installer un autre.
  Vérifier et choisir, si nécessaire, un parmi ceux-ci (gratuits): Online Armor Firewall, , Outpost Firewall FREE.
  
• Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
  - Windows XP: Cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heur où le PC est allumé.
  - Windows Vista/W7: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.
  
• Installer PSI de Secunia pour surveiller les MAJ logiciels.
  
• Utiliser Mes drivers pour les MAJ des pilotes (cliquer sur Lancer la détection
  
• Sauvegarder le Registre avec Erunt.
  Pour des raisons évidentes, garder les copies de sauvegarde sur un support autre que le disque système.
  
• Immunisez votre machine avec Spyware Blaster, compatible avec Toutes les versions de Windows 32bit et 64bit et peut s'installer en même temps qu'autre antispyware. Tuto.
  
• Vaccinez votre machine et vos médias amovibles (clés USB...) contre les "vers" (Autorun worms) avec USBFix ou Autorun Protector. Juste brancher tous les médias amovibles, lancer le programme et cliquer sur le bouton Vaccination (l'action est réversible en cliquant sur "Supprimer la vaccination".
  
• Opter pour Firefox ou Opera pour la navigation de tous les jours et réserver Internet Explorer pour les Mises à jour et les cas bien spécifiques.
  
• Nettoyer (CCleaner) et dé-fragmenter (Defraggler), régulièrement, les Partitions/ Disques.

 

>>> ÉVITER ABSOLUMENT:

• Crack et Cie: Un peu de lecture sur tout ce qui tourne autour de ces programmes: Warez ; Crack ; keygen.
  - Elle est finie l'époque où les cracks sont là juste pour aider ceux qui n'ont pas les moyens de se payer un tel ou tel programme et/ou c'était un signe de rébellion contre ces concepteurs trop avides...
  La nouvelle orientation est de se faire de l'agent facile en vendant des programmes qui "font tout" ou des barres d'outil qui "cherchent et trouvent tout".
  En fait, ils installent au mieux un spyware ou un adware qui tracent les habitudes de l'utilisateur pour lui afficher des pubs ciblées et au pire un rogue ou un rootkit qui peut aller jusqu'à bloquer une machine ou la rendre complètement inutilisable.
  - A noter que les "plus bénins" de ces cracks, ceux qui vous permettent d'installer un programme sans créer de problèmes apparents, mettent votre machine en danger parce que tout programme illégal ne reçoit pas de mises à jour et est donc porteur de vulnérabilités facilement exploitables par les pirates pour s'ouvrir des portes dérobées et disposer de tout ce qu'il veulent dans votre machine.
  Parce qu'il existe toujours un programme/logiciel gratuit et légal pour pratiquement tout ce qu'on veut, on peut éviter de courir tout risque inutile en renonçant à l'utilisation de ce type de programmes.
   
  
• Réseaux/Programmes P2P: Tout ce qui est lié aux applications type P2P/ Torrent est devenu de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
  Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles.
  C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes ce qui signifie qu'il y en a qui le sont mais,
  - Qui sait avec certitude lequel est bon et lequel est dangereux?
  - Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
  - En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
  Prendre la sage décision de désinstaller et ne plus utiliser tout programme de ce type.

 

 

>>> Ajouter Résolu: Merci d'éditer ton 1er post pour ajouter [Résolu] à la fin du titre après avoir cliqué sur les boutons "Modifier" => "Utiliser l'éditeur complet".

 

Bonne chance!

[Brylama]

Bonjour,

 

 

je me suis lancée dans la liste d'action pour sécuriser au mieux mon ordi...ouf! quelle histoire! Je ne sais pas déchiffrer l'anglais!!! Alors du coup, j'ai quelques difficultés à faire les choix pour l'installation de Outpost Firewall free; puis je demander ton aide?

 

Par ailleurs, j'ai télécharger secunia (que j'avais déjà semble-t-il mais pas à jour si j'ai compris); il a fait un scann et trouve 6 erreurs: 3 "end-of-life" et 3 "insecure".

 

Pour les "end-of-life", Il y a AAC/aac plus player plugin1.x que je ne retrouve pas pour le supprimer.

Il y a aussi à Power point; on me propose en action Microsoft update, je click et on me dit: "unable to locate an appropriate browser for the requiest URL" puis quand je fais OK, on me dit: "an error occured while attempting to open the specified URL". Je n'y comprend rien; que dois-je faire?

Puis il y a Adobe flash player 9.x(NPAI) J'ai la version 11.x, donc je voudrai désinstaller celle ci mais où est'elle? et sous quel nom?

 

Pour les Insecure, il y a HP info center 1.x où on me propose Install solution ce que je demande mais la réponse est la même que pour power point.

Il y a aussi apple safari que j'ai trouvé dans program file et que je souhaite supprimer.

Et enfin Symantec Norton ; aucune solution proposée

 

Peux-tu m'clairer pour tout ça aussi?

 

Très cordialement, Brylama

[lance_yien]

Bonjour,

 

...

Pour les "end-of-life", Il y a AAC/aac plus player plugin1.x que je ne retrouve pas pour le supprimer.

Probablement sous "Orban AAC/aacPlus Player Plugin".

=> Astuce: Utiliser la fonction "Rechercher" de Windows sur le nom que tu veux (ou une partie) => cliquer-droit sur l'élément trouvé => "Ouvrir l'emplacement...". Rechercher le nom de cet emplacement dans "Ajout/suppression), c'est souvent le nom du fabricant.

On peut aussi utiliser Google (ou tout autre moteur de recherche) comme j'ai fait pour ton programme car j'en ai jamais entendu parler avant.

 

Il y a aussi à Power point; on me propose en action Microsoft update, je click et on me dit: "unable to locate an appropriate browser for the requiest URL" puis quand je fais OK, on me dit: "an error occured while attempting to open the specified URL". Je n'y comprend rien; que dois-je faire?

Pour tout les produit Microsoft, cliquer sur "Démarrer" => "Panneau de configuration" => "Mises à jour automatiques" et choisir "Installation automatique (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé..

Laisser le temps à windows de les faire (2 à 3 jours).

 

Puis il y a Adobe flash player 9.x(NPAI) J'ai la version 11.x, donc je voudrai désinstaller celle ci mais où est'elle? et sous quel nom?

Adobe flash se trouve dans le panneau de configuration (logo: F dans un carré rouge). Je t'avais indiqué tout ce qu'il faut pour le faire et tu n'a rien d'autre à chercher en principe. Relis les instructions

 

Pour les Insecure, il y a HP info center 1.x où on me propose Install solution ce que je demande mais la réponse est la même que pour power point.

Cherche et ouvre "HP info center 1.x" si présent dans "Tous les programmes" et vois s'il y a un onglet, un bouton de mise à jour (update) siinon voir sur leur site.

 

Il y a aussi apple safari que j'ai trouvé dans program file et que je souhaite supprimer.

vois ici

 

Et enfin Symantec Norton ; aucune solution proposée

Si tu veux le supprimer, cliquer ICI puis sur TÉLÉCHARGER à côté de "J'utilise Windows Vista/XP/2000" pour télécharger leur utilitaire sur le Bureau,

Fermer toutes les fenêtres ouvertes y compris Internet et cliquer sur le nouveau fichier "Norton_Removal_Tool.exe" (Vista/W7, cliquer-droit sur le fichier et choisir "Exécuter en tant qu'administrateur".

Redémarrer le PC quand c'est fini.

 

=> Astuce: Quand PSI t'avertit pour un programme à mettre à jour, ouvre ce programme et cherche un bouton ou un onglet de mise à jour sinon aller sur le site du programme. La raison est que PSI a tendance à télécharger et installer les versions en anglais.

[Brylama]

Bonsoir,

 

j'ai beau relire les instructions pour adobe flash player, je ne comprend pas ce qui cloche! j'ai bien effectué la désinstallation mais pour l'installation (d'abord je ne trouve pas la case à décocher concernant MacAfee, par contre il y avait une case pour la barre outil google que j'ai décoché), elle ne se termine pas correctement car il s'affiche :" windows ne trouve pas'http://get.adobe.com/flashplayer/completion/aih/?exitcode=0'

Vérifiez que vous avez entré le nom correctement et essayez à nouveau. Pour rechercher un fichier, cliquer sur le bouton Démarrer, puis Rechercher.

OK"

 

J'avais d'ailleurs déjà mentionné ce problème il me semble la première fois que tu m'avais suggéré cette action. Que peut-on faire alors?

 

Merci, cordialement, Brylama

[lance_yien]

Bonjour,

 

Moi non plus, je ne comprends pas ce qui cloche ni pourquoi ce message "windows ne trouve pas..."

 

Concerne McAFee ou google, je suppose que c'est aléatoire pour vendre de la pub. Voici ce que j'ai eu ce matin:

 

 

Aller dans Panneau de configuration et cliquer sur "Flash Player" => "Avancés" et vérifier le N° de la version.

Si c'est 11.0.1.152 c'est que c'est bon. Cocher l'option "Rechercher automatiquement" et ne te prends plus la tête avec ça.

[Brylama]

Bonsoir,

 

 

Dans la fonction avancéé de Flash player voici ce qu'on me dit: Version du module d'extension non installé!

Il y a eu un "couac" quelque part...on peut y faire quelque chose?

 

Cordialement, brylama

[lance_yien]

Bonsoir,

 

Je pense qu'il vaut mieux que tu exposes ce problème dans la section Software parce que je ne sais plus quoi te proposer. Désolé!