demande d'analyse de log, contamination malware probable...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 28 Mai 2008, 00:04

Bonsoir,

Je t'ai envoyé en MP la 1ère partie de la procédure.


2ème partie


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Options régionales et linguistiques
Démarrer---->Exécuter, taper intl.cpl puis cliquer sur OK
Dans l'onglet Options régionales, il faut dans la liste déroulante sélectionner ta langue et ton pays [Exemple: Français (France)] puis valider en cliquant sur le bouton Appliquer puis sur le bouton OK.


Étape 2: Création du fichier repar-alert.reg

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans cette fenêtre du Bloc-notes.
Code: Tout sélectionner
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowControlPanel"=-
"StartMenuAdminTools"="YES"
"Start_ShowRun"=-
"Start_ShowSearch"=-
"Start_ShowHelp"=-
"StartMenuFavorites"=dword:00000000
"Start_ShowRecentDocs"=-
"Start_ShowMyDocs"=-
"Start_ShowMyPics"=-
"Start_ShowMyComputer"=-
"Start_ShowMyMusic"=-
"Start_ShowNetPlaces_ShouldShow"=dword:00000041

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoToolbarCustomize"=-
"NoDrives"=-
"StartMenuLogoff"=-
"NoStartMenuMorePrograms"=-
"NoSetFolders"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=-
"NoDispCPL"=-

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserOptions"=dword:00000000

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=-



Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de repar-alert.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .reg.txt, renommer le fichier en .reg
Fermer le Bloc-notes.


Étape 3: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.
Désactiver le module résident de l'antivirus et celui de l'antispyware (s'ils sont actifs en mode sans échec).


Étape 4: Utilisation du fichier repar-alert.reg
Faire un clic droit sur repar-alert.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 5: HijackThis
Fermer toutes les fenêtres de programme.
Fermer Internet Explorer.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Image Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O3 - Toolbar: atfxqogp - {42F72442-2DD5-4B32-8A09-D2276C4EB3B9} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [Windows Update Service] C:\WINDOWS\svchost.exe

Fermer HijackThis.


Étape 6: Redémarrage
Redémarrer en mode normal.


Comment se comporte le PC?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hello1013 » 28 Mai 2008, 18:09

Rebonjour,
alors, j'ai pu effectuer toutes les manips sans problème.

Résultats : il ne manque plus rien dans le menu démarrer et mes programmes ont réapparu.

Le PC semble rétabli, pourtant il est toujours écrit à droite de l'heure "VIRUS ALERT", d'ailleurs quand j'ai ouvert la fenêtre pour choisir la langue régionale, il y avait aussi la case heure, j'ai voulu modifier et effacer ce message mais impossible de bouger le curseur une fois dans cette case.
J'ai essayé de me connecter sur msn et quand j'ecris, à coté de mon nom et de l'heure VIRUS ALERT apparait aussi.

On y est presque!!
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede nickW » 28 Mai 2008, 19:57

Bonsoir,

As-tu vraiment effectué ceci:

Étape 1: Options régionales et linguistiques
Démarrer---->Exécuter, taper intl.cpl puis cliquer sur OK
Dans l'onglet Options régionales, il faut dans la liste déroulante sélectionner ta langue et ton pays [Exemple: Français (France)] puis valider en cliquant sur le bouton Appliquer puis sur le bouton OK.


Même si la ligne en bleu affiche déjà Français (France), il faut cliquer sur la flèche Image et resélectionner ta langue et ton pays.

Ensuite, cliquer sur Appliquer puis sur OK.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hello1013 » 28 Mai 2008, 20:03

Oups... bien vu , en effet, comme c'était déjà sur français je n'avais pas utilisé le menu déroulant...

Et là ça marche!!!! plus de message "virus alert"!!!! youpi!!!!

merci!! merci!!merci!! :Mouaaarrrrffffffff:
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede hello1013 » 28 Mai 2008, 20:14

un dossier Backups est apparu sur le bureau...
Est-ce normal? puis-je l'effacer?
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede nickW » 28 Mai 2008, 20:54

Re-

hello1013 a écrit:Oups... bien vu , en effet, comme c'était déjà sur français je n'avais pas utilisé le menu déroulant...

Franchement, à quoi ça sert que j'écrive des procédures détaillées si personne ne les lit! :wink: :D


hello1013 a écrit:Et là ça marche!!!!

Franchement, crois-tu que j'écris n'importe quoi? :wink: :D


Il reste une petite manip à effectuer:

HijackThis
Fermer toutes les fenêtres de programme.
Fermer Internet Explorer.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Image Fix checked:

O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es

Fermer HijackThis.



Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:

ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil:
Avast! n'est plus un bon antivirus (en tout cas dans sa version gratuite)!
Si tu comprends un peu l'anglais, le logiciel antivirus Avira Antivir Personal est actuellement bien plus "réactif" vis à vis des nouveaux nuisibles que avast!
Voir:
http://assiste.com.free.fr/p/logitheque/antivir.html
http://www.free-av.com/en/products/1/av ... virus.html
Téléchargement: http://www.free-av.com/en/download/1/av ... virus.html
Lire aussi cet article de Malekal_morte
Présentation sur libellules.ch (avec traduction anglais---->français des principaux termes): http://www.libellules.ch/tuto_antivir.php


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI.
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


ImageUn conseil important:
Installer la nouvelle version de Java de Sun.
Version actuelle: Java Runtime Environment (JRE) 6 Update 6
*- http://java.sun.com/javase/downloads/index.jsp (prendre le fichier jre-6u6-windows-i586-p.exe, 15,21 MB)

Puis en désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants" (Voir dans Ajout/Suppression de programmes).
Note: tu devras désinstaller Java(TM) 6 Update 3, Java(TM) 6 Update 4 et Java(TM) 6 Update 5

Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html


ImageUn conseil important:
Proscrire l'utilisation de P2P illicite!
(uTorrent).


ImageUn conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


ImageUn conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Sont dans ce cas:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"--->lui préférer Adobe Reader SpeedUp 1.36 ou tester Foxit Reader
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"--->mise à jour automatique: mieux vaut la faire soi-même, à condition d'y penser
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe--->lire attentivement la liste de Pacman
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background--->lire attentivement la liste de Pacman
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

Si tu décides de les désactiver, tu peux utiliser la méthode "msconfig" ou installer Autoruns (sauf indications particulières dans la liste de Pacman).
http://assiste.com.free.fr/p/abc/c/anti ... rrage.html
Une autre solution est de vérifier dans le programme s'il n'existe pas une option de lancement automatique au démarrage de Windows que l'on peut désactiver.


ImageUn conseil:
Il est préférable de supprimer SmitFraudFix (fichier téléchargé SmitfraudFix.exe, dossier d'installation SmitFraudFix situé sur le Bureau, et fichier rapport SystemDrive\rapport.txt).
Il est préférable de supprimer OTMoveIt2 (fichier téléchargé OTMoveIt2.exe situé sur le Bureau, fichier de travail OTfichiers.txt et dossier des résultats C:\_OTMoveIt).
Il est préférable de supprimer Deckard's System Scanner (fichier téléchargé dss.exe).
Note: Le dossier SystemDrive\Deckard\System Scanner contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.


Voilì, voilò, voilà.

Salut,

PS: Une bonne habitude à prendre:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 28 Mai 2008, 20:55

Re-Re-Arrreeuuuuhhhh,

Quel est le nom exact de ce dossier "Backups" sur le Bureau?


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hello1013 » 28 Mai 2008, 21:02

ok, je me lance dans ces dernières démarches...
si tout se passe bien je vais bientôt pouvoir terminer ce post!
...



ah j'avais pas vu : alors sur le bureau il y a l'icone classique d'un dossier intitulé "Backups", en ouvrant la fenêtre il y a 2 documents dedans : backup-20080528-185607-259 et l'autre : backup-20080528-185608-843.

Voilà... c grave?
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede hello1013 » 28 Mai 2008, 21:39

Re...
Je viens de créer un point de restauration et de redémarrer le PC, et 2 nouveaux "doc" se sont glissé dans le dossier Backups qui est sur le bureau.
hello1013
 
Messages: 33
Inscription: 25 Juin 2007, 19:14
Localisation: lille

Messagede nickW » 28 Mai 2008, 21:39

Re-

Ces fichiers sont des sauvegardes créées par HijackThis.

Le dossier Backups se trouve sur le Bureau car tu n'as pas correctement installé HijackThis! :evil:

Solution:
Créer un dossier (par exemple C:\HJT)
Y déplacer le fichier HijackThis.exe et le dossier Backups qui sont tous deux sur le Bureau.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 46 invités