[OK] description détaillée des symptômes d'infection

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Re: description détaillée des symptômes d'infection

Messagede mortar » 26 Mai 2011, 09:14

Bonjour,
- j'ai lancé MbaM j'attends le rapport du disque externe
- j'ai réussi une m.à.j. de Avira j'ai du désactiver Outpost! et les fichiers ont été actualisés c'est bizarre jusqu'ici le pare-feu autorisait les applications de l'antivirus
- Que dois faire avec le fichier PhysicalMBR? est ce un programme indésirable comment est-il arrivé dois je le supprimer?

Merci encore et à bientôt
mortar
 
Messages: 18
Inscription: 19 Mai 2011, 13:09

Re: description détaillée des symptômes d'infection

Messagede mortar » 26 Mai 2011, 11:10

Bonjour,
voici le rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6682

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

26/05/11 11:57:32
mbam-log-2011-05-26 (11-57-32).txt

Type d'examen: Examen complet (C:\|Y:\|Z:\|)
Elément(s) analysé(s): 276190
Temps écoulé: 1 heure(s), 22 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Z0 - Music Converter (Adware.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\foxtabaudioconverter\uninstall\uninstall.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Armand\local settings\application data\Google\Chrome\user data\Default\Cache\f_000025 (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Armand\mes documents\downloads\videotomp3setup.exe (Adware.Agent) -> Quarantined and deleted successfully.
y:\system volume information\_restore{2bda9917-d2df-4eee-8c01-47ae0105af3f}\RP38\A0019882.exe (Worm.RJump) -> Quarantined and deleted successfully.

à bientôt et Merci
mortar
 
Messages: 18
Inscription: 19 Mai 2011, 13:09

Re: description détaillée des symptômes d'infection

Messagede nickW » 27 Mai 2011, 01:02

Bonsoir,

1/ Donc, si je ne me trompe, le problème de mise à jour de Avira Antivir est réglé via le paramétrage de Outpost.
Note: Il a suffi que la version de Avira Antivir change ou que Avira modifie la localisation de ses serveurs de mise à jour.


2/ Le fichier C:\PhysicalMBR.bin (longueur: 512 octets) contient une copie du MBR (Master Boot Record) du disque 0 de ton PC.
Cette copie peut être vitale pour ton PC si une infection vient un jour s'attaquer au MBR (ce qui arrive de plus en plus souvent aujourd'hui).
Pour être utilisable, ce fichier ne doit pas être sur le PC, mais sur un support externe.
Je te conseille donc de le copier sur une clé USB et de le conserver précieusement.


3/ L'examen complet de MBAM a trouvé d'autres fichiers infectés, qui ont été supprimés:
*- FoxTab Audio Converter, videotomp3setup.exe : tu devrais te méfier davantage et fuir tous ces téléchargements gratuits mais infectants!
*- un fichier a été supprimé dans le dossier y:\system volume information\_restore, c'est-à-dire dans un dossier de la Restauration système. Il s'agit souvent de faux-positifs.
Tu devrais supprimer tous les points de restauration existants et en créer un nouveau, propre:
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


4/ Arrêt d'un service inutile lié à Ad-Aware de Lavasoft et suppression de deux clés

Étape 1: Création du fichier tuer-lbd.reg
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK

Sélectionner toutes les lignes ci-dessous comprises entre les deux lignes ------- (qu'il ne faut pas sélectionner), puis appuyer simultanément sur les touches Ctrl et C

-----------------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lbd]
"Start"=dword:00000004

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{66b55dcc-28c0-11de-8f93-0016384f7675}\Shell\Auto\command]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{66b55dcc-28c0-11de-8f93-0016384f7675}\Shell\AutoRun\command]


-----------------------------------------------------

Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de tuer-lbd.reg
Attention no 1: Après la copie, dans le fichier, il doit y avoir une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .reg.txt, renommer le fichier en .reg
Le fichier ainsi créé doit avoir cette icône: Image
Fermer le Bloc-notes.

Étape 2: Utilisation du fichier tuer-lbd.reg
Faire un clic droit sur tuer-lbd.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.



5/ Quelques autres conseils de sécurisation:

ImageUn conseil important:
Java de Oracle
Installer la dernière version de Java de Oracle.

Version actuelle: Java SE Runtime Environment (JRE) 6 Update 25 - JRE 6 Update 25

Ouvrir la page: http://www.oracle.com/technetwork/java/ ... index.html
Note: Javascript doit être autorisé.

Dans le paragraphe "Java Platform, Standard Edition", cliquer sur Download JRE.

Sur la page suivante, cocher le bouton radio placé devant "Accept License Agreement" et choisir le téléchargement Windows x86 Offline

Télécharger le fichier jre-6u25-windows-i586.exe, 15,77 MB

Fermer tous les navigateurs (Internet Explorer, Firefox, etc), puis faire un double clic sur jre-6u25-windows-i586.exe pour lancer l'installation.

Après l'installation de la nouvelle version, il est impératif de désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Pour ce faire:

JavaRa (de Fred de Vries et Paul McLain)
Aller sur le site http://raproducts.org/
Cliquer sur l'onglet Software
Télécharger JavaRa: Dans le paragraphe JavaRa, cliquer sur Download Windows Binary (.zip file).
Enregistrer le fichier JavaRa.zip sur le Bureau.
Créer un nouveau dossier nommé JavaRa et y décompresser la totalité de l'archive (clic droit, puis Extraire tout).
Ouvrir le dossier JavaRa puis faire un double clic sur JavaRa.exe pour lancer l'outil.

Sous "Select the language of your choice below" choisir (via la liste déroulante) Français et cliquer sur le bouton Select.

Cliquer sur le bouton Effacer les anciennes versions et valider ce choix en cliquant sur Oui ("Êtes-vous sûr de vouloir poursuivre?").

Cliquer deux fois sur OK.
Un rapport va s'afficher dans le Bloc-notes. Fermer le Bloc-notes.
Fermer JavaRa.


ImageUn conseil important:
Il faut sécuriser Firefox:
Certaines extensions me semblent presque indispensables:

CookieSafe (ou similaire) https://addons.mozilla.org/fr/firefox/addon/2497/
Dr.Web anti-virus link checker https://addons.mozilla.org/fr/firefox/addon/938/
Flashblock https://addons.mozilla.org/fr/firefox/addon/433/
NoScript https://addons.mozilla.org/fr/firefox/addon/722/
RefControl https://addons.mozilla.org/fr/firefox/addon/953/
ShowIP https://addons.mozilla.org/fr/firefox/addon/590/
WOT https://addons.mozilla.org/fr/firefox/addon/3456/
IsAdmin https://addons.mozilla.org/fr/firefox/addon/4259/
Vérifier que les plugins de Forefox sont à jour:
http://www.mozilla.com/en-US/plugincheck/

Pour naviguer sur le Web, il faut utiliser un compte utilisateur standard (pas un compte ayant les droits Administrateur), ou passer par DropMyRights.
Voir http://assiste.com.free.fr/p/logitheque ... ights.html


ImageUn conseil:
Désactiver la fonction de lancement automatique ("autorun") sur les lecteurs amovibles.
Voir ce sujet de Gof:
Guide sécurisation Windows face aux menaces infectieuses USB
viewtopic.php?t=25228
Le fichier de désactivation est téléchargeable depuis ce lien


ImageUn conseil:
Erunt permet de faire une sauvegarde du Registre.
Il est intéressant de l'utiliser avant d'installer un nouveau programme (en cas de problème, il permettra de revenir en arrière).


ImageUn conseil:
La version gratuite de MBAM (Malwarebytes' Anti-Malware) reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Penser aux mises à jour.

Adobe Reader X (10.0.1)
http://get.adobe.com/fr/reader/


ImageUn conseil:
Image Il est préférable de supprimer OTL (fichier téléchargé OTL.exe et fichiers résultats OTL.Txt et Extras.Txt situés sur le Bureau, ainsi que, s'ils existent, les fichiers de travail fix.txt et scan.txt).
Note: S'il existe, le dossier SystemDrive\_OTL contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est préférable de supprimer rkill (fichier rkill téléchargé, situé sur le Bureau, et fichier rapport %SystemDrive%/rkill.log).
Image Il est préférable de supprimer Navilog1 (lancer Navilog1 et choisir l'option 4, supprimer le fichier téléchargé Navilog1.exe et les fichiers résultats navi*-*.txt).
Image Il est préférable de supprimer Rootkit Unhooker (fichier téléchargé RKUnhookerLE.EXE, et fichiers rapports Report-RKU-*.txt).
Image Il est préférable de supprimer aswMBR (fichier téléchargé aswMBR.exe, et fichiers rapports aswMBR-*.txt).
Image Vider les quarantaines de l'antivirus.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: description détaillée des symptômes d'infection

Messagede mortar » 28 Mai 2011, 09:33

Bonjour j'ai suivi les instructions
-Avira se met de nouveau à jour Outpost le bloquait effectivement
-Le fichier C:\PhysicalMBR.bin est à l'abri
-Un nouveau point de restauration système est crée [j'avais souvent un msg d'erreur me disant "écriture décalée du disque x,y, a échoué et je n'arrivais plus ni à l'éteindre, ni à lire les fichiers contenus(dossiers vides) avec cette opération tout à l'air de fonctionner normalement :D
-j'ai suivi la procédure pour désinstaller complètement Ad-Aware
J'ai téléchargé JavaRa: j'ai le msg suivant "jusched.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser... (je n'arrive pas à coller la copie d'écran :? )
-La fonction "autorun" est désactivée
-Adobe Reader est à jour

le pc démarre et s’arrête plus rapidement je n'ai plus de blocage de page ou de souris tout à l'air normal sauf "jusched.exe..."
Merci encore et à bientôt
mortar
 
Messages: 18
Inscription: 19 Mai 2011, 13:09

Re: description détaillée des symptômes d'infection

Messagede nickW » 30 Mai 2011, 21:48

Bonsoir,

En effet, JavaRa n'est plus adapté aux dernières versions de Java (il est en cours de réécriture).

Pour désinstaller les anciennes versions de Java, il faut procéder "manuellement":

Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) Java(TM) 6 Update 24

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: description détaillée des symptômes d'infection

Messagede mortar » 08 Juin 2011, 13:01

Bonjour, je n'ai pas trouvé le fameux fichier Java(TM) 6 Update 24 donc j'ai toujours le message d'erreur" "jusched.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser... " néanmoins le pc est beaucoup plus rapide je n'ai plus de pages Internet bloquées les programmes courants fonctionnent correctement.
Le sujet est peut être clos qu'en pense tu?

Quoiqu'il en soit un Grand MERCI pour l'aide
mortar
 
Messages: 18
Inscription: 19 Mai 2011, 13:09

Re: description détaillée des symptômes d'infection

Messagede nickW » 08 Juin 2011, 23:27

Bonsoir,

Je te propose de faire une mise à jour complète de Java (une nouvelle version est sortie hier):

  • Téléchargement de la dernière version
    Ouvrir la page: http://www.oracle.com/technetwork/java/ ... index.html
    Note: Javascript doit être autorisé.

    Dans le paragraphe "Java Platform, Standard Edition", cliquer sur Download JRE.

    Sur la page suivante, cocher le bouton radio placé devant "Accept License Agreement" et choisir le téléchargement Windows x86 Offline

    Télécharger le fichier jre-6u26-windows-i586.exe, 15,85 MB

  • Suppression des versions antérieures

    Fermer tous les navigateurs internet (Internet Explorer, Firefox, Opera, etc)

    Via Démarrer ----> Panneau de configuration ----> Ajout/Suppression de programmes,
    *- sélectionner tout élément dont le nom commence par Java Runtime Environment, JRE, J2SE ou Java(TM) 6
    *- cliquer sur le bouton Modifier/Supprimer et valider la suppression
    *- répéter autant que nécessaire pour supprimer toutes les anciennes versions de Java

    Faire redémarrer le PC.

  • Installation de Java

    Les navigateurs internet étant fermés, faire un double clic sur jre-6u25-windows-i586.exe pour lancer l'installation.

    Important: Ne pas accepter l'installation de la moindre barre d'outils (Toolbar) comme Yahoo

  • Vidage du cache

    Dans le Panneau de configuration, faire un double clic sur l'icône Java Image
    Dans la fenêtre Panneau de configuration Java, dans l'onglet Général, dans le paragraphe Fichiers Internet temporaires, cliquer sur le bouton Paramètres.
    Dans la fenêtre Paramètres des fichiers temporaires, cliquer sur le bouton Supprimer les fichiers..., puis dans la fenêtre Supprimer les fichiers temporaires, laisser les deux cases cochées et cliquer sur le bouton OK.
    Cliquer sur OK deux fois.

  • Désactivation des mises à jour automatiques

    Dans le Panneau de configuration, faire un double clic sur l'icône Java Image
    Dans la fenêtre Panneau de configuration Java, cliquer sur l'onglet Mise à jour Dé-cocher la case située devant Automatiser la détection de mises à jour. Dans la fenêtre Avertissement de mise à jour Java, cliquer sur le bouton Aucune vérification. De retour dans la fenêtre Panneau de configuration Java, cliquer sur le bouton Appliquer, puis sur le bouton OK.

  • Quelques vérifications

    Test: Java fonctionne-t-il?
    http://www.java.com/fr/download/testjava.jsp

    Test de la version de Java installée
    http://java.com/fr/download/installed.jsp

    Test des plugins de Firefox
    http://www.mozilla.com/en-US/plugincheck/

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: description détaillée des symptômes d'infection

Messagede mortar » 09 Juin 2011, 12:53

Bonjour
j'ai suivi les recommandations et apparemment tout est OK :D Il n'y a plus de message d'erreur jusched.exe...
Les vérifications et les mises à jour des plugins Firefox sont OK
Si j'ai bien compris la procédure, par la suite, je devrai effectuer les màj de Java manuellement?

MERCI
à bientôt
mortar
 
Messages: 18
Inscription: 19 Mai 2011, 13:09

Re: description détaillée des symptômes d'infection

Messagede nickW » 09 Juin 2011, 23:23

Bonsoir,

Si j'ai bien compris la procédure, par la suite, je devrai effectuer les màj de Java manuellement?

Personnellement, je n'ai jamais pu constater que la mise à jour automatique fonctionnait! :wink:

Tu peux, par exemple, lancer de temps en temps un test des plugins de Firefox ... qui t'indiquera les mises à jour à effectuer, pour Java et d'autres logiciels.
http://www.mozilla.com/en-US/plugincheck/

Mais pour les mises à jour, au lieu de cliquer sur le bouton "update", je te conseille ceci:

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: description détaillée des symptômes d'infection

Messagede mortar » 15 Juin 2011, 12:51

Bonjour
Les màj ont l'air de fonctionner
Par contre en nettoyant les bases registre avec CCleaner j'ai, même après plusieurs passages, les messages suivants:

Extension de fichiers inutilisée .rle HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rle
Classe de fichiers vide ou invalide .rle\OpenWithProgids\Photoshop.BMPFile.8 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rle\OpenWithProgids

Est ce important?

Merci encore
mortar
 
Messages: 18
Inscription: 19 Mai 2011, 13:09

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 43 invités

cron