Votre question

[Résolu] PC bloqué suite infection par Antivirus Software

Tags :
  • software
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Février 2011 09:34:30

Réglé

Autres pages sur : resolu bloque suite infection antivirus software

a c 614 8 Sécurité
13 Février 2011 11:46:32

Bonjour,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Télécharge OTLPEnet sur ton Bureau (Taille > 120 Mo), sur un pc fonctionnel

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    lsass.exe
    lsm.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    [:_tom_:7]
    Contenus similaires
    a c 614 8 Sécurité
    13 Février 2011 19:04:43

    Re,

    PC pas à jour, le Service Pack 2 de Windows XP n'est même plus supporté par Microsoft depuis un an, ne pas s'étonner d'être infectée ...

    On continu :

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    IE - HKU\Admin_ON_C\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:18810
    IE - HKU\HelpAssistant_ON_C\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O3 - HKU\Admin_ON_C\..\Toolbar\ShellBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O3 - HKU\Admin_ON_C\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O3 - HKU\HelpAssistant_ON_C\..\Toolbar\ShellBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O3 - HKU\HelpAssistant_ON_C\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfree.dll (Conduit Ltd.)
    O4 - HKU\Admin_ON_C..\Run: [juookhhs] C:\Documents and Settings\Admin\Local Settings\Temp\tevypolst\lwynbjpsika.exe ()
    [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [1 C:\*.tmp files -> C:\*.tmp -> ]

    :Files
    C:\Documents and Settings\Admin\Local Settings\Temp\tevypolst

    :Commands
    [emptytemp]
    [emptyflash]
    [resethosts]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    A la suite de cette manipulation, tu dois être ne mesure de redémarrer normalement sans le CdLive.
    Fais-le puis effectue ceci :


    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    13 Février 2011 22:02:22

    Rebonjour hyunkel30,
    J'ai fait comme tu m'as dit, c'est à dire REATOGO-X-PE, puis OTPLE, puis copier-coller les lignes fournies, puis Run Fix, et le rapport généré C:\_OTL est de la forme date_heure.log (et non pas .txt), et donc je ne peux pas le poster sur le service de rapport en ligne .
    Ai-je fait une mauvaise manip ou bien veux-tu ce rapport .log en copier-coller sur ma prochaine réponse ?
    J'attend tes infos .
    Merci encore .
    a c 614 8 Sécurité
    14 Février 2011 18:16:45

    Re,

    Ha oui, j'oublie de marquer çà parfois, désolé, en fait un fichier .log est aussi un fichier bloc-note, il suffit de le renommer .txt à la place de .log et le poster.

    S'il n'est pas long, ne passe pas par cijoint, mais poste son contenu direct ici.

    As-tu pu reprendre la main sur le pc après cette manipulation d'OTL ?

    Si oui, n'oublie maintenant de faire le scan Malwarebyte's comme demandé !

    [:_tom_:7]
    14 Février 2011 20:06:52

    Rebonjour hyunkel30
    Comme tu me le propose, je te joins le rapport ci-aprés .
    Sur mon PC infecté, avec démarrage normal de windows XP, j'accède bien au bureau et il n'y a plus aucune fenêtre de message d'alerte ; ma messagerie Outlook Express fonctionne correctement ; par contre, je n'accède plus à Internet (le navigateur Explorer dit "impossible d'afficher la page" et le navigateur Chrome dit "Impossible de se connecter au serveur proxy")
    Dés que je retrouverais l'accés Internet, je ferai le nettoyage Malwarebyte's Anti-Malware .
    Merci et à bientôt .

    Voici le rapport :
    ========== OTL ==========
    Registry value HKEY_USERS\Admin_ON_C\Software\Microsoft\Internet Explorer\URLSearchHooks\\{ecdee021-0d17-467f-a1ff-c7a115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\ deleted successfully.
    C:\Program Files\free-downloads.net\tbfree.dll moved successfully.
    HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
    Registry value HKEY_USERS\HelpAssistant_ON_C\Software\Microsoft\Internet Explorer\URLSearchHooks\\{ecdee021-0d17-467f-a1ff-c7a115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\ not found.
    File C:\Program Files\free-downloads.net\tbfree.dll not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\ not found.
    File C:\Program Files\free-downloads.net\tbfree.dll not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{ecdee021-0d17-467f-a1ff-c7a115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}\ not found.
    File downloads.net\tbfree.dll not found.
    Registry value HKEY_USERS\Admin_ON_C\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{ECDEE021-0D17-467F-A1FF-C7A115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ECDEE021-0D17-467F-A1FF-C7A115230949}\ not found.
    File downloads.net\tbfree.dll not found.
    Registry value HKEY_USERS\Admin_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{ECDEE021-0D17-467F-A1FF-C7A115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ECDEE021-0D17-467F-A1FF-C7A115230949}\ not found.
    File downloads.net\tbfree.dll not found.
    Registry value HKEY_USERS\HelpAssistant_ON_C\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{ECDEE021-0D17-467F-A1FF-C7A115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ECDEE021-0D17-467F-A1FF-C7A115230949}\ not found.
    File downloads.net\tbfree.dll not found.
    Registry value HKEY_USERS\HelpAssistant_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{ECDEE021-0D17-467F-A1FF-C7A115230949} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ECDEE021-0D17-467F-A1FF-C7A115230949}\ not found.
    File downloads.net\tbfree.dll not found.
    Registry value HKEY_USERS\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\juookhhs deleted successfully.
    C:\Documents and Settings\Admin\Local Settings\Temp\tevypolst\lwynbjpsika.exe moved successfully.
    C:\WINDOWS\msdownld.tmp folder deleted successfully.
    C:\WINDOWS\SET3.tmp deleted successfully.
    C:\WINDOWS\SET4.tmp deleted successfully.
    C:\WINDOWS\SET8.tmp deleted successfully.
    C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
    C:\~QTW.TMP\MSCOMSTF.DLL deleted successfully.
    C:\~QTW.TMP\MSDETECT.INC deleted successfully.
    C:\~QTW.TMP\MSDETSTF.DLL deleted successfully.
    C:\~QTW.TMP\MSINSSTF.DLL deleted successfully.
    C:\~QTW.TMP\MSREGDB.INC deleted successfully.
    C:\~QTW.TMP\MSSHARED.INC deleted successfully.
    C:\~QTW.TMP\MSSHLSTF.DLL deleted successfully.
    C:\~QTW.TMP\MSUILSTF.DLL deleted successfully.
    C:\~QTW.TMP\SETUP.INF deleted successfully.
    C:\~QTW.TMP\SETUP.MST deleted successfully.
    C:\~QTW.TMP\SETUPAPI.INC deleted successfully.
    C:\~QTW.TMP\SETUPENU.DLL deleted successfully.
    C:\~QTW.TMP\SETUPENU.HLP deleted successfully.
    C:\~QTW.TMP\_MSSETUP.EXE deleted successfully.
    C:\~QTW.TMP\_MSSETUP._Q_ deleted successfully.
    C:\~QTW.TMP\_MSTEST.EXE deleted successfully.
    C:\~QTW.TMP folder deleted successfully.
    ========== FILES ==========
    C:\Documents and Settings\Admin\Local Settings\Temp\tevypolst folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Admin
    ->Temp folder emptied: 214344303 bytes
    ->Temporary Internet Files folder emptied: 925443999 bytes
    ->Java cache emptied: 15985481 bytes
    ->FireFox cache emptied: 742882 bytes
    ->Google Chrome cache emptied: 46376518 bytes
    ->Apple Safari cache emptied: 28856320 bytes
    ->Flash cache emptied: 78457 bytes

    User: Administrateur
    ->Temp folder emptied: 65536 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Domi
    ->Temp folder emptied: 45624 bytes
    ->Temporary Internet Files folder emptied: 1141576 bytes
    ->Java cache emptied: 820514 bytes
    ->Flash cache emptied: 405 bytes

    User: HelpAssistant
    ->Temp folder emptied: 86496111 bytes
    ->Temporary Internet Files folder emptied: 747788030 bytes
    ->Java cache emptied: 13106923 bytes
    ->FireFox cache emptied: 847779 bytes
    ->Google Chrome cache emptied: 1278773221 bytes
    ->Flash cache emptied: 81530 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 13725401 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 431602 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 890434 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

    Total Files Cleaned = 3,220.00 mb


    [EMPTYFLASH]

    User: Admin
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Apple Safari cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Domi
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Java cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: HelpAssistant
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 0 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    Total Flash Files Cleaned = 0.00 mb

    C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
    HOSTS file reset successfully

    OTLPE by OldTimer - Version 3.1.44.3 log created on 02132011_205909
    a c 614 8 Sécurité
    14 Février 2011 21:36:16

    Re,

    Suis cette procédure pour retrouver l'accès à Internet, le proxy installé par l'infection que j'ai supprimé laisse parfois des traces :

    (Merci à Sham pour le canned ;)  )

    Cette infection empêche d’accéder à Internet Explorer normalement et bloque parfois les mises à jours des logiciels de sécurité. Nous allons résoudre ce problème en modifiant le paramétrage du proxy.

    ~ Démarre Internet Explorer, clique sur le menu Outils puis ouvre les Options Internet comme sur cette image :





    ~ Ouvre l’onglet connexions :





    ~ Clique sur le bouton Paramètres réseau comme sur l’image suivante :






    ~ Décoche la boîte de dialogue: Utiliser un serveur proxy pour votre réseau local si elle est cochée.





    ~ Clique sur OK.
    14 Février 2011 22:51:03

    Re hyunkel30,
    En suivant tes instructions, j'ai retrouvé l'accés à mes navigateurs ; tout semble être rentré dans l'ordre .
    Demain je ferai le scan Malwarebyte's Anti-Malware et ensuite je te posterai le rapport .
    Merci encore et à bientôt .
    15 Février 2011 20:22:50

    Bonjour hyunkel30,
    Aprés un examen complet de mon PC, MBAM a trouvé 4 éléments infectés qui ont ensuite été supprimés .
    Je joins ci-aprés le rapport final de MBAM .
    Encore merci pour ton aide .

    Voici le rapport :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5768

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    15/02/2011 17:51:17
    mbam-log-2011-02-15 (17-51-17).txt

    Type d'examen: Examen complet (C:\|F:\|)
    Elément(s) analysé(s): 210589
    Temps écoulé: 56 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\Admin\mes documents\downloads\xvid_setup1.2.2-win32 (1).exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\documents and settings\Admin\mes documents\downloads\xvid_setup1.2.2-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\_OTL\movedfiles\02132011_205909\c_documents and settings\Admin\local settings\Temp\tevypolst\lwynbjpsika.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    a c 614 8 Sécurité
    16 Février 2011 17:25:42

    Re,

    Ok, ben voilà une possible source de ton infection :

    Citation :
    c:\documents and settings\Admin\mes documents\downloads\xvid_setup1.2.2-win32.exe


    Faites attention à ce que vous télécharger, et aux sources que vous utilisez, surtout sur les réseaux p2p ...


    Encore des symptômes ?
    Comment va le pc ?

    [:_tom_:7]
    16 Février 2011 18:29:40

    Bonjour hyunkel30
    Le PC a retrouvé toute sa vigueur, et l'infection n'est plus qu'un mauvais souvenir .
    Avant de conclure ce sujet, je voulais te dire un grand BRAVO et un grand MERCI pour tes conseils clairs, nets et efficaces ; sans toi, mon PC serait retourné au SAV du coin pour désinfection .
    Bonne continuation et meilleures salutations .
    a c 614 8 Sécurité
    16 Février 2011 19:31:03

    Re,

    Holà, comme préciser en préambule, c'est moi qui dis quand c'est fini :D 

    Ton pc est toujours vulnérable car non à jour, et on a du ménage à finir :


    1) Relance OTL.exe

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    2) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger :

    XP :
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (Fin du tuto)


    3) Mise à jour du système et des logiciels :

    /!\ Windows XP Sp2 n'est plus suivi par Microsoft, il faut absolument passé au service pack 3, sinon tu seras extrêmement vulnérable au faille de sécurité !

    Met à jour ton système vers le service pack 3 et fais l'ensemble des mises à jours proposées, notamment Internet Explorer 8 :
    http://update.microsoft.com/microsoftupdate/v6/default....

    Assures-toi que les programmes de ton PC soient à jour grâce à un scanner comme celui-ci :
    http://secunia.com/vulnerability_scanning/online/
    Met à jour tout les programmes détecté comme non à jour !



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !

    [:_tom_:7]
    20 Février 2011 16:04:18

    Bonjour hyunkel30,
    Je te communique ci-après le compte-rendu des opérations de nettoyage qui ont été effectuées :
    1) OTL.exe, purge d'outils : fait
    2) Purge de la restauration système : fait
    3) Mises à jour des programmes :
    - Windows XP SP2 remplacé par SP3
    - Navigateur IE6 remplacé par IE8
    - Scan de vulnérabilité OSI : tout est à jour, sauf Adobe Flash Player 10 pour lequel il y a un conflit avec Windows Messenger (bizzare car Windows Messenger n'est pas enregistré sur mon PC)
    - Pare-feu Windows désactivé et pare-feu Zone Alarm activé (mon antivirus est Antivir version gratuite)
    - Navigateur alternatif : Google Chrome (bien plus rapide que IE8)
    - Utilisation d'un compte avec droits limités pour le surf habituel sur le net

    Voila, j'ai appliqué toutes tes suggestions ; merci de me dire si c'est OK .
    Salut
    a c 614 8 Sécurité
    20 Février 2011 19:00:11

    Re,

    Citation :
    - Scan de vulnérabilité OSI : tout est à jour, sauf Adobe Flash Player 10 pour lequel il y a un conflit avec Windows Messenger (bizzare car Windows Messenger n'est pas enregistré sur mon PC)


    Il peut être en natif sur XP, regarde dans les programmes installé.
    Regarde aussi dans les processus lancé qu'il n'y ai aucun processus du nom de wlm.exe ou messenger.exe ou msn.exe (gestionnaire des tâches : "ctrl" + "alt" + "suppr")
    Si présent, coupe-les puis retente la mise à jour.

    Sinon, c'est ok.

    [:_tom_:7]
    21 Février 2011 08:29:26

    Rebonjour,
    Effectivement, Windows Messenger est inclus dans XP SP3 .
    Aprés l'avoir supprimé, j'ai fait une mise à jour de Adobe Flash Player 10, puis j'ai refait un scan de vulnérabilité OSI, et ce coup-ci tout est à jour .
    Dans ces conditions, merci de me dire si la désinfection est totalement terminée ou si il y a autre chose à faire .
    Bonne journée à toi .
    a c 614 8 Sécurité
    21 Février 2011 19:41:19

    [:archi]

    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "éditer" dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS