Pré-Nettoyage d'un PC infecté

[ipl_001]

Rebonsoir zorro51, rebonsoir à tous,

Salut

 

J'espere ne pas etre un boulet pour certains! enfin bon bref.

Arrête avec çà, s'il te plaît ! N'en remets pas une couche !

Pour ce qui est du cache java et de tous les fichiers temp, un coup de CCleaner en mode sans echec ca vire tout en un clic! c'est tres bien.

Ceci a déjà été signalé par megataupe ci-dessus.

Pour virer son antivirus defaillant sur un pc infecté, j'ai deja testé de le faire avec Totaluninstall. En general c'est all good et ca ne laisse pas de traces... du dit antivirus.

Merci pour cette information !

Certes, mais tous les AV ne nécessitent pas cet utilitaire ! TotalUninstall doit être utilisé avant installation (ou du moins, réutilisé avant et après la simulation d'une installation sur un autre système).

Par contre pour ce qui est de antivir, peut on l'installer directement en mode sans echec? car je sais qu'il est possible d'installer certains prog en mode ss echec.

En effet ca simplifierait grandement la manip

 

merci pour vos reactions

524250[/snapback]

ngchrist t'a répondu !

 

zorro51, merci pour tes remarques judicieuses !

[ipl_001]

Bonsoir megataupe,

Pour ma part, je pense fortement qu'il n'est pas utile d'alourdir la procédure préliminaire en adjoignant à Antivir des programmes plus ou moins obsolétes. D'autres logiciels pourront être mis en oeuvre après l'analyse du 1er log Hijackthis puisque, rappelons le, le but est de disposer d'une procédure légére, rapide et efficace.

524296[/snapback]

Tout a fait d'accord !

Le but de cette procédure révisée est d'enlever de manière rapide et simple, un bon pourcentage des malwares, pas 100 % !

 

Il ne faut pas ajouter de point supplémentaire, à la rigueur, remplacer un point par un autre !

 

La procédure reécrite par megataupe est relative à un ensemble d'opérations réalisées avant analyse du rapport HijackThis.

 

Ces opérations sont suivies d'autres également en mode sans échec ! L'idéal étant d'ailleurs de disposer de 2 ordinateurs, le système infecté transmettant le rapport HJT à un autre qui le postera, l'infecté n'étant pas redémarré de manière à ne pas risquer de réinfection par un redémarrage en mode normal... ou dans les cas extrêmes, recommençant l'ensemble !

[megataupe]

Bonsoir ngchrist, zorro51, bonsoir à tous,Pas de conflit en mode sans échec !

Mais ce qui évite le conflit avec un autre antivirus, est-ce l'installation en mode sans échec ou simplement le fonctionnement en mode sans échec, c'est à dire le fait que l'autre AV n'est pas chargé en mémoire !

 

Où est installé Antivir ? en HKLM ? dans quel SID de HKU ?

Où sont les éléments de BdR d'un antivirus installé normalement ?

 

Je m'explique :

- ce qui s'installe dans HKey_Local_Machine sera utilisé quel que soit l'utilisateur

 

- dans HKey_Users, il y a les spécificités de chacun des utilisateurs (les "personnalisations") et chacun de ces utilisateurs est identifié par un SID ("User's Security Identifier") dont un qui est spécial, le ".DEFAULT"

524295[/snapback]

 

Je constate que pour Avast (243 inscriptions dans le registre), il y a également des entrées en HKEY_CLASSES_ROOT et en USER aussi, en plus des deux cités par IPL.

[ngchrist]

Bonsoir IPL et à tous

- ce qui s'installe dans HKey_Local_Machine sera utilisé quel que soit l'utilisateur

 

- dans HKey_Users, il y a les spécificités de chacun des utilisateurs (les "personnalisations") et chacun de ces utilisateurs est identifié par un SID ("User's Security Identifier") dont un qui est spécial, le ".DEFAULT"

524295[/snapback]

 

Je suis bien trop nulle pour comprendre tout ça, la seule chose que j'avais comprise : c'était qu'en étant en mode sans échec, l'AV résident de l'ordi n'était pas chargé et donc que l'on pouvait installer antivir et le faire fonctionner sans qu'il y ait de conflits.

 

Quand à leur installation dans le registre je ne serai dire où ils s'installent !!!!!! (de l'énorme bouquin que j'ai achété pour comprendre quelque chose aux registres de windows, je n'en suis qu'à la page 6 sur 574!!!!)

[ipl_001]

Rebonsoir ngchrist, megataupe, zorro51, rebonsoir à tous,

 

Félicitations pour l'attaque du gros bouquin !

 

Pas de problème pour faire tourner ANtiVir en mode sans échec, l'autre AV ne sera pas en conflit. Quid du redémarrage en mode normal ?

A ma connaissance, il faut ensuite en désinstaller un !

 

Il me semble me souvenir (posts de tesgaz d'il y a de nombreux mois) que tesgaz avait AntiVir tout prêt sur une clé USB et que son "installation" pouvait être une simple copie ! Pour le lancer une seule fois, il n'est pas nécessaire d'inscrire quoi que ce soit dans la Base de Registres !

[ipl_001]

megataupe,

Je constate que pour Avast (243 inscriptions dans le registre), il y a également des entrées en HKEY_CLASSES_ROOT et en USER aussi, en plus des deux cités par IPL.

524304[/snapback]

Il convient de savoir que HKCR n'existe pas : c'est la même chose que HKLM\Software\Classes

De même, HKCU n'existe pas : c'est un extrait de HKU\SID qui s'est loggué !

 

Qu'entends-tu par USER ? Il existe HKey_Current_User et UKey_Users (comme dit plus ci-dessus, HKey_Current_User n'existe pas en soi, cette branche est créée lors du logon à partir de HKey_Users)

[ipl_001]

Rebonsoir à tous,

 

Je rebondis sur le post de zorro51 relatif à MWAV !

 

Un peu comme JV16PT qui est devenu payant en passant par une version gratuite à durée limitée... il est possible d'obtenir la dernière version gratuite à durée illimitée (il suffit de la demander à qui de droit... LOL)...

 

MWAV (MicroWorld AntiVirus) alias eScan était gratuit et supprimait les fichiers infectés dans ses versions anciennes (la dernière était la 4.4.7).

Les versions gratuites actuelles ne s'occupent que de l'examen et de l'affichage mais sans éradiquer !

Il est possible d'obtenir le dernier moteur gratuit (4.4.7) et de lui associer les définitions de virus à jour !

 

Une différence entre les dernières versions gratuites complètes de JV16PT et de eScan est que le moteur de JV16PT (nettoyeur de disque) change moins souvent que le moteur de MWAV (multiantidote AV) mais ce dernier tient la route lorsqu'associé aux défs de virus actuelles !

[ipl_001]

Bonjour zorro51,

... avec le lien que je fillais, est proposé la fameuse ancienne version gratos. merci qui? merci le site assiste.com

MWAV est connu sur Zebulon !

Je ne veux pas enlever les côtés positifs d'Assiste.com mais n'exagérons pas ! Le lien est disponible en de nombreux autres endroits à commencer par mes pages Web et mon disque dur.

Sans présence d'un smiley, je trouve ta pub déplacée !

 

Pierre n'attend pas MWAV pour établir sa notoriété ! Ses lacunes sont ailleurs !

[ipl_001]

megataupe,

 

Quelques remarques :

 

-1- ton sommaire n'est pas en accord avec ton développement

Phase 1 : téléchargement d'un antivirus et du logiciel Hijackthis

 

Phase 2 : redémarrage et entrée en mode sans échec, nettoyage simple du système (dossiers Temp)

 

Phase 3 : utilisation de l'antivirus, installation et utilisation d'Hijackthis

 

Phase 4 : redémarrage en mode standard et envoie du rapport Hijackthis pour analyse

 

Dans le développement, la phase 2 est relative à la préparation du système avec le démarrage en mode sans échec et l'affichage de tous les fichiers, la phase 3 est constituée par 3 étapes de nettoyage :

- nettoyage disque par la suppression de fichiers inutiles

- examen antivirus par Antivir

- installation et préparation d'un rapport HijackThis

 

-2- utilisation de 2 "minilien" !!!???

Un minilien est destiné à simplifier une adresse Web ou ne pas révéler une adresse réelle ! Pourquoi en as-tu mis 2 dans la proc ?

Stop au phishing et autres détournements d'adresses Web ! Il y en a déjà assez par ailleurs !

Stop à la pub pour cet organisme !

Stop aux intermédiaires !

LOL

 

Je serais d'avis de rétablir les bonnes URL :

 

- "Comment démarrer Windows XP en mode sans échec" - http://service1.symantec.com/SUPPORT/INTER...020325143456924

 

- http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm pour la procédure d'utilisation de HijackThis de BipBip

 

-3- manière d'écrire HijackThis

Je considère qu'on doit respecter la volonté des créateurs.

 

Merijn utilise l'écriture HijackThis pour parler de son programme : je pense souhaitable de respecter cette manière, c'est à dire 2 majuscules H et T

Par contre, en mode abrégé, l'écriture la plus courante est HJT et parfois HT.

[megataupe]

Bonjour IPL, bonjour à tous. Je vois que tu as l'oeil exercé ô grand gardien des procédures . J'ai donc apporté les modifications souhaitées sauf, pour le lien Symantec qui refuse de s'activer et je l'ai donc remplacé par un autre lien Symantec qui décrit la procédure pour toutes les versions de Windows. Si tu peux mettre le lien direct, tu édites le post et tu rectifies avec mon extrème bénédiction.

 

Encore merci pour tes judicieux contrôles