Ordinateur vérolé [Résolu]

[kikikiki]

Bonjour,

 

Je fais appel à vos spécialistes car depuis 2 jours je n'arrive pas à installer mon ordinateur.

 

Après formatage, le virus revient toujours. Un message disant que le système va s'arrêter avec un compteur de 1 min. J'ai donc remonté l'horloge de l'ordinateur une heure avant, ce qui me permet d'analyser ce qui se passe. Je tiens à préciser que j'ai procédé au formatage complet de l'ordinateur à 2 reprises ce qui n'as rien changé.

 

L'ordinateur est par ailleurs infecté par les pubs et les mises a jours de Windows sont impossible à installer.

 

Je vous en

 

voie ci-dessous mon log HijackThis. Merci d'avance pour votre aide.

 

Logfile of HijackThis v1.99.1

Scan saved at 21:11:21, on 01/05/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\algsys.exe

C:\WINDOWS\mapping\svchost.exe

C:\WINDOWS\Q2hyaXN0aWFuZQ\command.exe

C:\WINDOWS\update\updmgr.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\System32\spooIsv.exe

C:\WINDOWS\System32\iexplore.exe

C:\Program Files\paytime.exe

C:\WINDOWS\System32\fbaabe32.exe

C:\WINDOWS\System32\0mcamcap.exe

C:\windows\mousepad16.exe

C:\WINDOWS\System32\MSDNSD32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\webHancer\Programs\whagent.exe

C:\Program Files\webHancer\Programs\whsurvey.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\MSDNSD32.exe

C:\PROGRA~1\FICHIE~1\orqq\orqqm.exe

C:\PROGRA~1\FICHIE~1\orqq\orqqa.exe

C:\Program Files\Internet Explorer\iexplore.exe

c:\tool2.exe

c:\Program Files\paytime.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\WinAntiVirus Pro 2006\WinAV.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Chris\Bureau\HijackThis.exe

C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\97e754582377d850e2164a4adca20caa\update\update.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00012.exe"

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\mapping\svchost.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM\..\Run: [Microsoft ® Windows Connection Mapping Service] C:\WINDOWS\mapping\svchost.exe

O4 - HKLM\..\Run: [sysTray] c:\Program Files\paytime.exe

O4 - HKLM\..\Run: [fbaabe32.exe] C:\WINDOWS\System32\fbaabe32.exe

O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname16.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad16.exe

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard16.exe

O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\Run: [1337 virus] explore.exe

O4 - HKLM\..\Run: [w00659f8.dll] RUNDLL32.EXE w00659f8.dll,I2 000ad76c000659f8

O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe

O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Program Files\WinAntiVirus Pro 2006\WinAV.exe" /min

O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKLM\..\RunServices: [1337 virus] explore.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [fbaabe32.exe] C:\Documents and Settings\Chris\Local Settings\Application Data\fbaabe32.exe

O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKCU\..\Run: [orqq] C:\PROGRA~1\FICHIE~1\orqq\orqqm.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1114967175051

O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\wznetmgr.dll

O23 - Service: Windows Connection Mapping Service (cmapsvc) - Unknown owner - C:\WINDOWS\mapping\svchost.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2hyaXN0aWFuZQ\command.exe

O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Program Files\WinAntiVirus Pro 2006\FWSvc.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

Modifié le 5 mai 2006 par kikikiki

[bruce lee]

bonsoir,

 

on va virer smitfraud.

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

 

3/* Redemarrer l'ordinateur en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

* Double cliquer sur smitfraudfix.cmd

* Sélectionner 2 dans le menu pour supprimer les fichiers respondables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui)

sauvegarde le rapport.

 

redemarre en mode normal et post aussi le nouveau rapport

 

 

EDIT: vu que ton log est tres "pollué" il y a de fortes chances que tu ne puisses pas suivre la proceudre preliminaire, je te la mets fais ce que tu peux

 

bon courage

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com . Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) : http://speedweb1.free.fr/frames2.php?page=tuto5

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

 

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

----------

Manière d'utiliser cette procédure au sein d'une discussion :

- cliquer sur le bouton "Répondre" (à côté de "Citer" en bas à droite du message)

- Sélectionner la partie utile du texte (entre les lignes de tirets)

- Ctrl-C pour copier dans le Presse-papier

- annuler la réponse en cliquant sur la flèche "Retour arrière" (fonction du navigateur en haut à gauche de la fenêtre)

- Ctrl-V pour coller la procédure dans un post de la nouvelle discussion

- ajouter l'information "(Source : http://forum.zebulon.fr/index.php?act=ST&f=40&t=69176 )"

- (de cette manière, vous conserverez liens et mise en page)

- (vous pouvez aussi conserver la procédure dans un fichier texte -avec les balises- sur votre disque dur).

Modifié le 1 mai 2006 par bruce lee

[kikikiki]

Bonsoir bruce lee, merci pour cette réponse très rapide.

 

J'ai exécuté les 2 premières étapes que tu m'as conséillé et je vais me lancer dans la 3è.

 

Voici ci-dessous mon rapport:

 

SmitFraudFix v2.37

 

Rapport fait à 22:28:20,71, 01/05/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

C:\country.exe supprimé

C:\drsmartload1.exe supprimé

C:\kl1.exe supprimé

C:\ms1.exe supprimé

C:\secure32.html supprimé

C:\tool1.exe supprimé

C:\tool2.exe supprimé

C:\tool4.exe supprimé

C:\tool5.exe supprimé

C:\toolbar.exe supprimé

C:\uniq supprimé

C:\winstall.exe supprimé

C:\WINDOWS\icont.exe supprimé

C:\WINDOWS\keyboard??.exe supprimé

C:\WINDOWS\mousepad??.exe supprimé

C:\WINDOWS\newname??.exe supprimé

C:\WINDOWS\teller2.chk supprimé

C:\Program Files\paytime.exe supprimé

C:\Program Files\secure32.html supprimé

C:\Program Files\SpySheriff\ supprimé

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[kikikiki]

Pour l'instant rien n'a encore changé, mais je pense que je vais bien devoir commencer toute les étapes prliminaires.

 

Après la 3è étape (que tu m'as donné), voici le rapport que j'obtiens:

 

SmitFraudFix v2.37

 

Rapport fait à 22:47:11,16, 01/05/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

C:\country.exe PRESENT !

C:\drsmartload1.exe PRESENT !

C:\kl1.exe PRESENT !

C:\ms1.exe PRESENT !

C:\secure32.html PRESENT !

C:\tool1.exe PRESENT !

C:\tool2.exe PRESENT !

C:\tool4.exe PRESENT !

C:\tool5.exe PRESENT !

C:\toolbar.exe PRESENT !

C:\uniq PRESENT !

C:\winstall.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

C:\WINDOWS\keyboard?.exe PRESENT !

C:\WINDOWS\mousepad?.exe PRESENT !

C:\WINDOWS\newname?.exe PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

C:\Program Files\paytime.exe PRESENT !

C:\Program Files\secure32.html PRESENT !

C:\Program Files\SpySheriff\ PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!! Attention, les clés qui suivent ne sont pas forcément infectées !!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bruce lee]

bonjour,

 

repost un nouveau log hijackthis s'il te plait.

[kikikiki]

Bonjour,

 

Je n'arrive même plus à démarrer le pc

 

Dès que je le fais, j'envoie un autre log hijack..

[kikikiki]

Bonjour,

 

J'ai enfin réussi à réparer mon ordinateur vérolé (grâce à vos conseils et à votre rapidité notamment), mais en réalité le système en question datait de plus de 3 ans et donc il fallait mettre à jour Windows hors connection internet. J'ai donc gravé un CD sous un autre poste et j'ai réussi à mettre à jour l'ordianteur vérolé et à installer AntiVir en même temps avant de me connecter sur internet. C'est ainsi que j'ai résolu mon problème, je vois envoie ci-dessous mon rapport HijackThis, pour, je l'éspère, la toute dernière analyse. Merci encore pour votre attention.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:19:40, on 05/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\carpserv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avnotify.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe

C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe

C:\Program Files\AntiVir PersonalEdition Classic\avscan.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1146695752429

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

[bruce lee]

bonjour kikikiki,

 

alors la je suis impressionné, ton rapport est propre

 

tu es sur que c'est le log du PC infecté?

[kikikiki]

Et oui ! C'est bien le PC infecté. En fait, comme je te le disais, l'ordianteur infecté n'as pas été mis à jour depuis 3 ans environ. J'ai donc utilisé mon PC "propre" pour mettre à jour le malade. Mais auparavant, j'ai du reformater encore le PC... Ce qui est intéressant à remarquer aussi, c'est que les virus ne se mettaient à agir que lorsque je me connectais sur internet. J'espère que cette expérience permettra à d'éventuels internautes qui ont eu ou auront le même problème que moi de s'en sortir.

 

La morale de tout ceci est qu'il faut mettre à jour son ordinateur réguliérement.

 

Ceci dit, je vais rajouter au titre de mon sujet. [Résolu]

Modifié le 5 mai 2006 par kikikiki

[bruce lee]

re,

 

ah je comprends mieux maintenant pour eviter d'avoir d'autres bestioles je te recommande de suivre ceci:

 

A présent, quelques conseils de sécurité :

 

1/ Règles générales de bonnes conduites a avoir :

 

- Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier(journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- ne pas utiliser de logiciel de Peer to Peer (les logiciels de P2P sont sources d infections virales)

- une attitude vigilante (être l'affût des fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defragmentation)

 

 

2/ Installation d'un firewall (parfeu) :

 

Le parfeu "offert" par Xp n'est pas efficace du tout! Il est bourré de failles et ne filtre pas les flux sortants.

 

Nous vous proposons 3 firewalls gratuits et efficaces :

-=> Kerio

-=> Zone Alarm

-=> Sygate Personal Firewall Free (en anglais)

 

vous trouverez ces 3 firewalls avec des tutos pour les configurer ici http://forum.zebulon.fr/index.php?act=ST&f...t=0&do=findComment&comment=487252

A noter : Si vous utilisez l'antivirus Avast, ne pas installer ZoneAlarm. Ce dernier est incompatible avec certains services d'Avast.

 

 

3/ Installation d'un antivirus :

 

 

-=> Antivir ( http://www.free-av.com ) que tu peux configurer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

-=> Avast! 4.6 téléchargeable ici. Tu trouveras un tutorial pour celui-ci sur ce lien

Un enregistrement gratuit est nécessaire pour avoir les mises a jour! Celui-ci se fait ici

 

 

4/ Logiciels anti-malwares pour scan régulier :

 

-=> Ad-aware SE

 

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

 

-=> SpyBot-Search & Destroy

 

http://spybot.safer-networking.de/fr/download/index.html

Son tuto

http://assiste.free.fr/p/frameset/07_spybo...rch_destroy.php

A noter que ce logiciel propose une option intéressante de vaccination du systeme qui bloque certaines url néfastes pour le navigateur Internet Explorer. Par ailleurs, il intègre une protection a temps réel : le TeaTimer.

 

-=> a² free (anti-trojans)

 

- Téléchargement : http://www.emsisoft.net/fr/software/free/

Il est nécessaire de s enregistrer sur le site pour pouvoir utiliser et avoir les mises a jour du logiciel!

Attention : a ² free détecte quelque fois des faux positifs! Ayez une attitude prudente raisonnée : ne pas supprimer sans réflexion les entrées trouvées. Et si vous etes pris d un doute, n hésitez pas a poster sur le forum sécurité de zebulon

 

 

5/ Installation de SpywareBlaster :

 

SpywareBlaster: permet d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur votre PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif : il ne supprime pas les spywares déjà présent mais empêche leur installation.

 

http://www.javacoolsoftware.com/downloads.html

Son tuto:

http://www.ordi-netfr.org/tutorialspywareblaster.html

 

 

6/ Installation d'un navigateur web alternatif et sécurisé

 

Pourquoi passer sur Firefox (ou Opera) et abandonner IE?

Tout simplement parce que IE n est pas conforme aux standards du W3C, ils gerent ces funestes ActiveX, souvent porteuses d infections virales, il ne propose pas la navigation par onglets si pratique, il n integre pas d anti popups en interne.

 

Pour toutes ces raisons je te conseille de passer sur Firefox que tu peux davantage sécuriser avec les conseils de megataupe

 

 

 

Si tu veux toujours utiliser Internet Explorer :

 

-=> IE-SPYAD:(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux)

Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichierie-ads.reg:

les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit! )

http://www.spywarewarrior.com/uiuc/resource.htm

 

 

7/ Installation de ZebProtect

 

Zeb Protect est un logiciel freeware développé par des membres du forum Zebulon.fr (merci a eux) qui permet de sécuriser votre PC sous Windows en fermant certains ports sensibles aux attaques venant d'Internet. D'autres options sont également disponibles comme la suppression des partages ou la désactivation des comptes par défaut.

Téléchargement : http://telechargement.zebulon.fr/123-Zeb-Protect.html

Tutorial : http://www.zebulon.fr/articles/zebprotect.php

 

 

8/ Un antispam :

 

Le spam représente un nouveau fléau. Il s'agit de tous ces messages non sollicités qui arrivent sur votre boite mail!

Selon les études, ce fléau représenterait aujourd'hui de 30 à 40 % du trafic e-mail.

Pour y remédier, il est donc nécessaire d'installer un antispam. Internet Explorer n'en propose pas en interne mais peut recevoir des logiciels annexes qui se chargeront de filtrer les mails recus.

 

Pour ma part, je vous propose l'installation d'une messagerie alternative qui intègre un antispam en interne. Il s'agit de Mozilla Thunderbird.

Téléchargement : http://www.mozilla-europe.org/fr/products/thunderbird/

 

 

9/ Nettoyeurs du systeme :

 

-=> EasyCleaner : EasyCleaner est un logiciel tout en un pour supprimer les entrées obsolètes de la base de registre de Windows, nettoyer le menu ajout/suppression de programmes, effacer les fichiers inutiles, désactiver des programmes qui se lancent automatiquement au démarrage de Windows…

Il integre également un détecteur de fichiers doublons! Celui-ci ne doit absolument pas etre utilisé car non fiable

Télérchargement : http://personal.inet.fi/business/toniarts/ecleane.htm

 

-=> CCleaner (Crap Cleaner) : Excellent nettoyeur du systeme.

Le premier onglet intitulé "Windows" se charge d'effacer les traces laissées sous Windows (cookies, historique, documents récents,...) et d'effacer les éléments inutiles (vider la poubelle, vider le presse papier, effacer les journaux Windows ou les fichiers temporaires).

 

Le second s'occupe de nettoyer les traces et les fichier temporaires d'applications diverses (Mozilla/Firefox, Opera, Office, Acrobat, Google Toolbar, Paint Shop Pro, VNC Viewer, Quicktime ou encore Media player Classic).

 

Le troisième onglet permet de nettoyer la base de registre des éléments orphelins (dll inexistantes, programmes obsolètes, activeX et classes invalides, ou encore extensions de fichier inexistantes).

Téléchargement : http://www.ccleaner.com/

 

-=> Beclean : Tres bon logiciel qui se charge de nettoyer les fichiers temporaires du systeme, le cache Internet, la liste des fichiers récemment utilisé, les liens cassés du menu démarrer et du bureau, les fichiers effacés de la corbeille et les entrées obsolètes dans la base de registre.

Téléchargement : http://boozet.xepher.net/

 

-=> Regcleaner : RegCleaner permet de nettoyer la base de registre en supprimant les entrées inutiles. Il affiche les clés qu'il n'est pas "trop risqué" de supprimer : logiciels, liste de démarrage, menu désinstallation, type de fichiers, nouveau fichier, intégration shell.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

Téléchargement : http://telechargement.zebulon.fr/28-RegCleaner.html

 

-=> JV16 PowerTools : Utilitaire tres complet : Il integre les fonctions de Regcleaner.

A noter que la version 1.3.0.195 de JV16 proposée ici est la dernière version gratuite, le produit étant maintenant payant.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

Tutorial : http://www.zebulon.fr/articles/base-de-registre-3.php

Téléchargement : http://telechargement.zebulon.fr/201-jv16-powertools.html

 

-=> Regseeker : RegSeeker est un nettoyeur de base de registre puissant et simple d'utilisation. Ce logiciel permet également d'appliquer de nombreux paramètres Windows.

Ce logiciel integre une fonction de sauvegarde pour plus de sécurité afin de rétablir les clefs supprimées en cas de probleme.

Turorial : http://www.zebulon.fr/articles/regseeker-1.php

Téléchargement : http://www.hoverdesk.net/freeware.htm

 

 

Pour en savoir plus, consulte la page de ipl_001

http://gerard.melone.free.fr/IT/IT-AM0.html