Demande d'analyse

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 18 Juin 2010, 00:48

Bonsoir,

Essaie d'utiliser le PC pendant quelques jours, et préviens-moi de tout dysfonctionnement.

Il reste des nettoyages d'éléments non infectieux et des mises à jour à effectuer (seulement si le PC n'a plus de problèmes).

Donc, à bientôt.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede naturalganja » 28 Juin 2010, 01:33

bonjour,
a part le probleme qui fait que je ne peux pas renommer mes fichiers, je pense que le pc va bien.
Tu penses qu'il est temps de faire les dernieres manips?
merci encore
Follow your dreams, don't let your dreams follow you...
naturalganja
 
Messages: 23
Inscription: 20 Mai 2010, 11:34

Messagede nickW » 28 Juin 2010, 14:45

Bonjour,

1/ Lorsque tu veux renommer un fichier, es-tu sûr de ne pas modifier son extension?
Peux-tu vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html

Il ne faut pas chercher à modifier ce qui se trouve à droite du dernier "point" du nom du fichier (c-à-d l'extension).
Exemples:
Renommer abcd.defg.bat en trucmuche.bat est correct (l'extension .bat reste inchangée)
Renommer abcd.defg.bat en bidule.com est invalide (l'extension a été modifiée)


2/ Peux-tu décrire très précisément ce qui se passe lorsque tu veux renommer un fichier?

*- quel fichier
*- dans quel dossier
*- en quoi veux-tu le renommer
*- qui envoie le message d'erreur (titre de la fenêtre)
*- quel est exactement le message d'erreur

*- si tu renommes le fichier, il devient inutilisable: quel est exactement le message d'erreur lorsque tu veux ouvrir le fichier renommé

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede naturalganja » 29 Juin 2010, 17:26

ok alors la j'ai assez honte, je n'ai meme pas pense a ca, c'etait pourtant si simple, effectivement je peux renomer en ne changeant pas l'extension du fichier!
que te reste-il a checker?
Follow your dreams, don't let your dreams follow you...
naturalganja
 
Messages: 23
Inscription: 20 Mai 2010, 11:34

Messagede nickW » 01 Juil 2010, 21:52

Bonsoir,

Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:



ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Installer la nouvelle version de Java de Sun.

Version actuelle: Java SE Runtime Environment (JRE) 6 Update 20 - JRE 6 Update 20
*- http://java.sun.com/javase/downloads/index.jsp

Dans le paragraphe "Java Platform, Standard Edition", cliquer sur le bouton Image (Download JRE).

Sur la page suivante, dans le paragraphe "Provide Information, then Continue to Download", choisir la plateforme (Windows/Windows x64), cocher la case située devant "I agree to the Java SE Runtime Environment 6u20 with JavaFX 1 License Agreement.", puis cliquer sur le bouton Continue >>

Sur la nouvelle page, sous "Windows Offline Installation", télécharger le fichier jre-6u20-windows-i586.exe, 15,54 MB
Fermer tous les navigateurs (Internet Explorer, Firefox, etc), puis faire un double clic sur jre-6u20-windows-i586.exe pour lancer l'installation.

Après l'installation de la nouvelle version, il est impératif de désinstaller toutes les versions obsolètes dont les failles sont utilisées par les "malveillants".
Pour ce faire:
JavaRa (de Fred de Vries et Paul McLain)
Télécharger JavaRa depuis cette page: http://raproducts.org/
(Dans l'article JavaRa, cliquer sur Download Windows Binary (.zip file)).
Enregistrer le fichier JavaRa.zip sur le Bureau.
Créer un nouveau dossier nommé JavaRa et y décompresser la totalité de l'archive (clic droit, puis Extraire tout).
Ouvrir le dossier JavaRa puis faire un double clic sur JavaRa.exe pour lancer l'outil.

Sous "Select the language of your choice below" choisir (via la liste déroulante) Français et cliquer sur le bouton Select.

Cliquer sur le bouton Effacer les anciennes versions et valider ce choix en cliquant sur Oui ("Êtes-vous sûr de vouloir poursuivre?").

Cliquer deux fois sur OK.
Un rapport va s'afficher dans le Bloc-notes. Fermer le Bloc-notes.
Fermer JavaRa.


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ici et ici. (Note: ces pages ne sont plus à jour)
Voir également: ici et ici


ImageUn conseil important:
Il faut sécuriser Firefox:
Certaines extensions me semblent presque indispensables:

Adblock Plus https://addons.mozilla.org/fr/firefox/addon/1865
CookieSafe (ou similaire) https://addons.mozilla.org/fr/firefox/addon/2497
Dr.Web anti-virus link checker https://addons.mozilla.org/fr/thunderbird/addon/938
Flashblock https://addons.mozilla.org/fr/firefox/addon/433
IsAdmin https://addons.mozilla.org/fr/firefox/addon/4259
NoScript https://addons.mozilla.org/fr/firefox/addon/722
RefControl https://addons.mozilla.org/fr/firefox/addon/953
ShowIP https://addons.mozilla.org/fr/firefox/addon/590
WOT https://addons.mozilla.org/fr/firefox/addon/3456


ImageUn conseil important:
Une partition est presque pleine.
En dessous de 15% d'espace libre, toute défragmentation via Windows est impossible.
Il faut absolument "faire le ménage".
Drive D: | 72.05 Gb Total Space | 1.25 Gb Free Space | 1.74% Space Free | Partition Type: NTFS


ImageUn conseil important:
Proscrire l'utilisation de P2P illicite!


ImageUn conseil:
Désactiver la fonction de lancement automatique ("autorun") sur les lecteurs amovibles.
Voir ce sujet de Gof:
Guide sécurisation Windows face aux menaces infectieuses USB
http://assiste.forum.free.fr/viewtopic.php?t=25228
Lire également (de Gof):
Les infections se propageant par les supports amovibles : USB, Flash, etc.
http://forum.zebulon.fr/infections-par- ... 31959.html
... et sa synthèse ici


ImageUn conseil:
La version gratuite de MBAM (Malwarebytes' Anti-Malware) reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Penser aux mises à jour.
Adobe Reader 9.3: http://www.adobe.com/fr/products/reader/ et mise à jour 9.3.3: http://www.adobe.com/support/downloads/new.jsp
Note:
Si tu veux absolument conserver Adobe Reader, je te conseille d'essayer Adobe Reader SpeedUp 1.36
Sinon, il existe un autre programme pour lire des fichiers PDF, bien moins gourmand en ressources, et gratuit:
Foxit Reader: http://www.foxitsoftware.com/pdf/rd_intro.php
Important: Refuser l'installation de la barre d'outils Foxit Toolbar (= Ask Toolbar)


ImageUn conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Image Note: Le site n'est pas à jour, il faut utiliser la version téléchargeable.
Sont dans ce cas:

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)--->à conserver si tu utilises les caractères asiatiques dans Microsoft Office
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()--->à conserver si tu utilises les caractères asiatiques dans Microsoft Office
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)--->à conserver si tu utilises les caractères asiatiques dans Microsoft Office
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)--->à conserver si tu utilises les caractères asiatiques dans Microsoft Office
O4 - HKCU..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe (Tonec Inc.)

Si tu décides de les désactiver, tu peux utiliser la méthode "msconfig" ou installer Autoruns [voir ici et ici] (sauf indications particulières dans la liste de Pacman).
Une autre méthode consiste à vérifier dans le programme s'il n'existe pas une option de lancement automatique au démarrage de Windows que l'on peut désactiver.


ImageUn conseil:
Image Il est préférable de supprimer OTL (fichier téléchargé OTL.exe et fichiers résultats OTL.Txt et Extras.Txt situés sur le Bureau, ainsi que, s'il existe, le fichier de travail fix.txt).
Note: S'il existe, le dossier SystemDrive\_OTL contient des sauvegardes. Après avoir vérifié que tous les logiciels du PC fonctionnent correctement, il sera possible de supprimer ce dossier.
Image Il est préférable de supprimer rkill (fichier rkill téléchargé, situé sur le Bureau).
Image Il est préférable de supprimer Gmer (fichier téléchargé au nom aléatoire et fichiers rapports gmer-******.txt).
Image Il est préférable de supprimer TDSSKiller (archive téléchargée tdsskiller.zip, fichier programme TDSSKiller.exe et fichier(s) rapport(s) SystemDrive\TDSSKiller.*_log.txt)
Image Vider les quarantaines de l'antivirus et de l'anti-spyware.



Voilì, voilò, voilà.

Salut,

PS:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Précédente

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 20 invités