Préliminaires Avant Décontamination (PAD)

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Préliminaires Avant Décontamination (PAD)

Messagede pierre » 28 Juin 2004, 21:13

.
.

=============================================

>> Cette procédure P.A.D., de 2004, est obsolète. <<


>> Cette procédure P.A.D. peut être dangereuse sous Windows Vista/7. <<


>> Il ne faut pas suivre cette procédure P.A.D. <<


>> Prière d'effectuer ce qui est demandé dans ce sujet. <<

=============================================


Procédure avant de demander de l'aide
Cette procédure s'appelait, initialement, "La Mini Manip"

Préliminaires Avant Décontamination (PAD)

Quelle que soit la raison (contamination, analyse approfondie ou simple état des lieux) qui vous conduit ici, vous serez amené à utiliser deux fois un outil appelé HijackThis. Celui-ci produit un journal (un "log" ou "rapport"). Ce journal donne la liste des contenus des emplacements utilisés par Windows lors de son démarrage et d'autres emplacements connus pour être utilisés par les parasites. Il y aura donc 2 journaux HijackThis que nous vous demandons de sauvegarder sous les noms HJT1.txt et HJT2.txt :
  1. Le premier, HJT1.txt, sera à produire et sauvegarder avant l'exécution de la procédure "PAD". Nous pourrions être amenés à le consulter.
  2. Le second, HJT2.txt, sera à produire et recopier sur le forum, après l'exécution de la procédure "PAD", en posant votre question, afin que nous l'analysions.
Attention ! HijackThis produit un journal de tout ce qui se lance au démarrage de Windows (et liste quelques paramètres) et uniquement cela. Il centralise en une unique liste ordonnée et méthodique des informations éparpillées un peu partout dans Windows.
  • HijackThis ne porte aucun jugement sur les éléments de cette liste. Ce n'est pas du tout un outil d'analyse comme peuvent l'être un antivirus ou un anti-trojans.
  • HijackThis, lors de l'établissement de son journal, ne supprime aucun fichier ni aucune entrée de la base de registre.
  • HijackThis ne consulte que quelques emplacements privilégiés de votre ordinateur à l'exclusion de tout le reste. Il ne regarde pas vos disques, répertoires, fichiers etc. ...
  • HijackThis produit une liste qui comporte tous les éléments complètement légitimes et totalement indispensables au fonctionnement de votre ordinateur comme les composants de Windows lui-même, votre antivirus, votre anti-trojans, votre pare-feu etc. ...
Seuls les membres entraînés et agréés de notre encadrement (les "assistants" ou, en anglais, les "Helpers") sont à même d'interpréter ces journaux et vous donner les instructions éventuelles à suivre.

Assiste.com a écrit:N'utilisez pas la fonction de réparation ("Fix checked") de HijackThis de votre propre initiative.

Avant de nous communiquer votre second journal HijackThis nous allons vous faire exécuter plusieurs outils de décontamination et de nettoyage de votre système dont une analyse complète. Ceci est extrêmement important car, d'une part, HijackThis ne balaye pas tout votre système et, d'autre part, ceci place les personnes qui vous aident (les "Assistants") dans un contexte assurément plus sain et nettoyé d'un large spectre des parasites communs pour lesquels il existe des outils. Ainsi, les parasites simples comme les seront déjà éliminés. Nous vous ferons également utiliser un outil de nettoyage de votre système dont le comportement améliorera les performances globales de votre ordinateur et détruira tous les fichiers et répertoires temporaires dans lesquels peuvent se cacher des infections.

Cette procédure a donc deux buts :
  1. Une analyse et un nettoyage approfondis de votre système des parasites "simples" les plus communs
  2. La présentation aux "Assistants" de rapports plus dépouillés, leur permettant de se concentrer uniquement sur les parasites contre lesquels les outils automatiques échouent. N'oubliez jamais que les "Assistants" sont des volontaires bénévoles qui prennent sur leur temps, leur vie de famille, leurs obligations, leur travail... pour vous aider.
Il est possible qu'après une telle procédure vous n'ayez même plus besoin de nous consulter. Dans ce dernier cas, il est vital de suivre les recommandations du Kit de Sécurité et d'implémenter les couches de protection suggérées pour maintenir dans le temps le bon état de fonctionnement de votre ordinateur et la protection de votre vie privée.

Si vous pensez, toutefois, que votre ordinateur comporte encore une infection, nous vous invitons alors à produire le second journal HijackThis et à nous consulter dans notre sous forum dédié aux analyses des journaux HijackThis.

Votre respect de cette procédure Préalable à la Décontamination ("PAD") permettra aux "Assistants" d'être plus efficaces et de gagner du temps. En conséquence, nous pourrons dépanner un plus grand nombre de demandeurs.

Assiste.com a écrit:Les analyses de journaux faisant ressortir l'absence d'exécution de la procédure PAD seront abandonnées et les sujets de discussion fermés.

Bien vouloir attendre 3 jours avant de relancer un sujet (faire un "up") si personne n'a répondu.

Une charte spécifique aux analyses des journaux HijackThis doit être lue :
viewtopic.php?p=63481


Suivez attentivement les instructions. A la moindre hésitation, au moindre besoin d'éclaircissement, consultez-nous. Nous pensons cette procédure détaillée et suffisamment didactique pour être employée même par un débutant total mais ne faites jamais rien avec hésitation et sans comprendre - vous mettriez en péril votre ordinateur et nous procureriez un surcroît de travail pour redresser votre machine. Nous n'avons peut-être pas été assez clair dans la "PAD" et votre remontée d'information nous aiderait à l'améliorer, ce dont nous vous serions reconnaissant, donc n'hésitez pas à nous consulter, à poser des questions et à demander des explications.

Nota:
De nombreux utilitaires gratuits vont être utilisés. Cette gratuité s'entend souvent dans le cadre d'un usage sur un ordinateur "domestique" (à la maison, pour un usage non professionnel, etc. ...). Les clauses et conditions de chacun de ces logiciels sont réputées avoir été lues par vous même et emportent votre compréhension et adhésion.


Allons-y !

Au vu de la longueur de la procédure, nous vous conseillons de l'imprimer ou d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur votre PC (Note: vous n'aurez pas accès à l'Internet à partir de l'étape 4).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément vous paraît obscur, demandez des explications avant de commencer la désinfection.

Il vous sera demandé à plusieurs reprises de "redémarrer en mode sans échec" - vous êtes censés savoir le faire (voir Démarrer / Redémarrer en mode "sans échec")


Description obligatoire de votre configuration matériel et logiciel
L’analyse détaillée d’un problème profond sur votre machine nécessite la description de votre configuration matériel et logiciel afin que nous puissions vous aider en connaissance de cause. Au lieu de mettre plusieurs lignes de texte dans votre signature pour décrire ceci, ce qui est déjà une première approche, souhaitable mais peu esthétique, nous avons mis en place un forum destiné à ces descriptions de configurations (avec une matrice de description qu'il vous reste à compléter). Ajoutez ensuite un lien discret vers cette description dans votre signature (voir le forum "Mes configs" à viewforum.php?f=111 ).

Note: Ces manipulations doivent être effectuées en ayant ouvert une session avec les droits "Administrateur", maintenant comme un peu plus tard lorsqu'il vous sera demandé de redémarrer en mode "sans échec" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)

  1. Téléchargement des outils dont nous allons nous servir
    Téléchargement des dernières versions des outils dont nous allons nous servir. Ceci est fait maintenant car la suite de la procédure se déroulera sans connexion Internet.
    1. CCleaner (Choisissez la version "Slim" - Nous vous recommandons de conserver définitivement ce programme donc installez le à son emplacement définitif)
    2. VundoFix - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau.
    3. VirtumundoBegone - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau. Ce programme ne fonctionne pas sous Windows Vista.
    4. SmitfraudFix - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau.
    5. Navilog1 - Par un clic droit sur ce lien, enregistrer ce fichier sur le Bureau.
    6. HijackThis
      Téléchargement et installation de HijackThis
      Téléchargez HijackThis version 2.0.2 de Trend
      Attention:
      Il ne faut pas utiliser la version 1.99.1 de HijackThis!
      Il faut utiliser la version 2.0.2 de Trend Micro.
      Téléchargez la version avec installeur (Download HijackThis Installer) depuis cette page:

      http://www.trendsecure.com/portal/en-US ... s/download
    7. Assurez-vous de bien voir tous les fichiers et tous les répertoires
      Consultez cette page et, selon votre version de Windows, faites ce qui est préconisé.
      http://assiste.com/p/comment/comment_vo ... aches.html
    8. Première exécution de HijackThis
      Votre ordinateur est démarré normalement (ne pas démarrer en mode "sans échec") et vous êtes sous un compte avec droits administratifs (ne pas utiliser le profil d'utilisateur (le compte) appelé "Administrateur" (que l'on peut voir lorsque l'on démarre en mode "sans échec") qui est un compte spécial). Exécutez HijackThis afin de produire un journal préliminaire que vous conserverez sous le nom de HJT1.txt.
    9. Identifiez tous les programmes suspects
      Allez dans :
      Démarrer > Panneau de configuration > Ajouter ou supprimer des programmes
      Identifiez (ne désinstallez pas maintenant - ne désinstallez pas tant que vous êtes connectés au Net) tous les programmes suspects.
      Pour vous aider à prendre une décision, vous pouvez consulter les bases de données suivantes :
      http://forums.majorgeeks.com/showthread.php?t=79754
      http://assiste.com/p/craptheque/craptheque.html
      http://www.bleepingcomputer.com/uninstall/
    10. Couper toute connexion avec le Net
      Le plus sûr et le plus simple est de débrancher le câble.
    11. Désactivez tous les modules de surveillance temps réel
      Certains utilitaires de sécurité que vous avez peut-être installés disposent de modules de protection (surveillance des modifications apportées à la base de registre, surveillance des ajouts / modifications / suppressions de fichiers dans les répertoires système etc. ...) fonctionnant en temps réel (souvent appelés "boucliers temps réel"). Ces modules vont interférer avec les manipulations suivantes. Ils doivent être désactivés (pensez à les ré-activer ensuite). Parmi ces utilitaires comportant des "boucliers temps réel", on trouve :
      • SpyBot Search & Destroy (module appelé "Tea Timer")
      • Ad-aware version commerciale (module appelé "Ad-watch")
      • AVG Anti-Spyware (bouclier résident, version payante)
      • SpywareGuard
      • PrevX
      • ProcessGuard
      • Windows Defender
      • SpySweeper
      • Gardien de RogueRemover Pro
      • ScriptBlocking de Norton
      • RegFreeze
      • CounterSpy
      • RegProt
      • System Safety Monitor
      • InVircible
      • Abtrusion Protector
      • Viguard
      • Etc. ... dont tous les "contrôleurs d'intégrité"
      Si vous ne savez pas comment procéder pour désactiver ces fonctions, consultez-nous.
      Egalement, certains pare-feux disposent de fonctions similaires.
    12. Utilisez Ccleaner
      • Installez CCleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
      • Lancez le programme.
        Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
        Si nécessaire, allez dans Options et choisir le langage: Français.
        • Dans le menu Nettoyeur - onglet Windows, cochez:
          Internet Explorer: Fichiers Internet Temporaires, Cookies
          Système: Videz la Poubelle, Fichiers Temporaires, Presse-papiers
          Avancé: Vieilles données du Prefetch
        • Dans le menu Options - sous-menu Avancé, décochez:
          Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
        • Dans le menu Nettoyeur - onglet Applications, cochez:
          Internet: Sun Java
        • Si cela est possible, dans le menu Nettoyeur - onglet Applications, cochez:
          Firefox/Mozilla: Cache Internet, Cookies
      • Cliquez sur Analyse
      • Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que vous voulez absolument conserver.
      • Dans le menu Nettoyeur, cliquez sur le bouton Lancer le nettoyage.
      • Fermez le programme.
    13. Pour les victimes du parasite Virtumundo (Vundo, Virtumonde, VBStat, MSEvents) uniquement
      Pour ceux ayant installé, à leur insu ou volontairement, l'un des logiciels listés sur cette page (soit : WinAdBlocker, WinAntiSpam, WinAntiSpy, WinAntiSpyware, WinAntiSpyware Pro, WinAntiVirus, WinAntiVirus Pro, WinContentFilter, WinDriveCleaner, WinFireWall, WinFixer, WinNanny, WinPopupGuard, WinPrivacyGuard, Error Safe...), exécutez la procédure d'éradication de Virtumundo. Cette procédure éradiquera le parasite implanté par ces logiciels crapuleux (les logiciels crapuleux eux-mêmes pouvant généralement être supprimés par la procédure standard de Windows "Ajout/Suppression de programmes").

      Etes-vous infesté par Virtumundo ?

      • Symptômes exécutifs pouvant faire penser à une contamination par Virtumundo (Vundo) :
        Nota : l'instabilité d'un système n'est pas un symptôme suffisant.
        • L'un des logiciels Winmachin... listé ci-dessus est installé ou tout logiciel ayant une consonance proche
        • Fenêtres publicitaires de type pop-up pour des prétendus logiciels de sécurité
        • Toute allusion (liens URLs...) au domaine Amaena.com
      • Symptômes déductifs pouvant faire penser à une contamination par Virtumundo (Vundo) :
        • Présence simultanée dans le journal HijackThis d'une paire de lignes de type O2 et O20 comportant le même nom aléatoire de fichier de type .dll. Exemple :
          O2 - BHO: (no name) - {2D81C3CA-5A42-4D14-B119-CCFD483CAE09} - C:\WINDOWS\system32\ljjkhhe.dll
          O20 - Winlogon Notify: ljjkhhe - ljjkhhe.dll

          Le BHO, dans cette paire de lignes, pouvant être de l'un des types suivants :
          O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnlij.dll (file missing)
          O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\mlljk.dll
          O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\hggef.dll
          O2 - BHO: (no name) - {2D81C3CA-5A42-4D14-B119-CCFD483CAE09} - C:\WINDOWS\system32\ljjkhhe.dll
        • Variante CIEPl Object - Autre cas de figure dans un journal HijackThis
          • Le nom de la dll est "moins" aléatoire et semble légitime (service.dll, tdev.dll, msvmon.dll etc...)
          • La paire O2 et O20 fait apparaître ce nom
          • Une infection additionnelle de type O20 - AppInit_DLLs: est ajoutée avec un nom de dll manifestement aléatoire
          • Le CLSID est toujours F85E86D8-F796-4C97-AAA2-26664A98A42C
          Exemple
          O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\tdev.dll
          O20 - AppInit_DLLs: C:\WINDOWS\System32\jekofzbc.dll
          O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\tdev.dll
      Si vous êtes infesté par Virtumundo :

      • Utilisez VundoFix (de Atribune)
        Mettez le fichier VundoFix.exe, que nous avons téléchargé préalablement, sur votre Bureau Windows.
        Fermez tous vos programmes car il va y avoir arrêt du PC.
        Lancez le programme en faisant un double clic sur VundoFix.exe (vous devez avoir les droits administratifs sinon les accès dont à besoin VundoFix.exe lui seront refusés)
        Cliquez sur le bouton Scan for Vundo
        Lorsque le balayage (scan) est terminé, cliquez sur le bouton Remove Vundo
        S'il y a infection, cliquez sur Yes sur l'invite de demande de suppression de fichiers
        Le Bureau va disparaître un moment lors de la suppression des fichiers
        Une fenêtre annonce que le PC va redémarrer: cliquez sur OK

        Note:
        Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquez sur le bouton Scan for Vundo".

      • Utiliser VirtumundoBegone (de secured2k)
        Ce programme ne fonctionne pas sous Windows Vista.
        Mettez le fichier VirtumundoBeGone.exe, que nous avons téléchargé préalablement, sur votre Bureau Windows.
        Fermez toutes les fenêtres, tous les programmes, pas de connexion ouverte: il va y avoir redémarrage du PC.
        Lancez le programme en faisant un double clic sur VirtumundoBeGone.exe
        Suivez les instructions (Cliquez sur Run si demandé, cliquez sur Start, puis sur Yes).
        Lorsque l'outil a terminé, redémarrez.
        Ne pas s'inquiéter s'il y a un message "Erreur fatale" avec Ecran bleu (BSOD), c'est normal et attendu. Redémarrez.
    14. Pour les victimes du parasite Smitfraud uniquement
      Pour ceux ayant installé, à leur insu ou volontairement, l'un des logiciels listés sur cette page (soit : AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirus Gold, AntiVirusGold, AntivirusGolden, AVGold, Brain Codec, BraveSentry, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Antivirus, Gold Codec, GoldAntivirus, HQ Codec, iCodecPack, Image ActiveX Object, iMediaCodec, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LiveProtect, Malware Alarm, MalwareAlarm, MalwaresWipeds, MalwareWipe, MalwareWiped, MalwareWipePro, MalwareWiper, MediaCodec, Media-Codec, MMediaCodec, MovieCommander, MPCODEC, Mr. AntiSpy, My Pass Generator, PCODEC, Perfect Codec, PestCapture, PestTrap, PornMag Pass, PornPass Manager, PowerCodec, PrivateVideo, PSGuard, QualityCodec, quicknavigate.com, Registry Cleaner, Security iGuard, Silver Codec, SiteEntry, SiteTicket, Smitfraud, Spy Locked, Spy Sheriff, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpyMarshall, SpySheriff, SpySherrif, SpySoldier, Spyware Locked, Spyware Soft Stop, Spyware Vanisher, SpywareKnight, SpywareLocked, SpywareQuake, SpywareSheriff, SpywareStrike, Startsearches.net, strCodec, Super Codec, TitanShield AntiSpyware, TrueCodec, Trust Cleaner, UpdateSearches.com, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoAccess, VideoBox, VideoCompressionCodec, VideoKeyCodec, VideosCodec, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinAntiSpyPro, WinHound, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec...) exécutez la procédure d'éradication de Smitfraud

      Utilisez SmitfraudFix (de S!ri)
      Etape 1 : Recherche
      • Mettez le fichier SmitfraudFix.exe, que nous avons téléchargé préalablement, sur votre Bureau Windows.
      • Faites un double clic sur SmitfraudFix.exe pour lancer l'outil.
      • Après l'affichage du menu, tapez 1 puis faites "Entrée" pour rechercher les fichiers responsables de l'infection. Le rapport se trouve à la racine de la partition système (en général il s'agit de C: ) dans le fichier rapport.txt
      • Renommez le fichier rapport.txt en rapport1.txt
      Etape 2 : Nettoyage:
      • Redémarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, après le test du matériel par le BIOS, alors que l'écran est noir, tapotez sur la touche de fonction F8 (ou F5 dans certains cas))
      • Double cliquez sur SmitfraudFix.exe
      • Sélectionnez 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
      • A la question: Voulez-vous nettoyer le registre ? répondez O (oui) et pressez "Entrée" afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
      • Le correctif déterminera si le fichier wininet.dll est infecté. A la question: "Corriger le fichier infecté ?" répondez O (oui) et pressez "Entrée" pour remplacer le fichier corrompu.
      • Un redemarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine de la partition système (en général il s'agit de C: ) dans le fichier rapport.txt
      Notes:
      1/ Il faut autoriser l'exécution de l'intégralité du script Visual Basic (fichier de type vbs) une seule fois en cas d'alerte par votre antivirus (pas d'interruption).
      2/ process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Site officiel
    15. Désinstallez tous les programmes suspects
      Vous pouvez maintenant désinstaller complètement tous les programmes suspects ainsi que toutes les barres d'outils et de recherches d'Internet Explorer autres que celle de Google (ou MSN, Yahoo! ou AOL).
    16. Ré-activez tous les modules de surveillance temps réel
    17. Rétablissez votre connexion Internet
      Re-branchez le câble et attendez un instant que la synchronisation avec votre fournisseur d'accès à l'Internet (FAI) se rétablisse.
    18. Exécutez une analyse antivirus / anti-spyware gratuite en ligne avec décontamination
      Redémarrez en mode sans échec avec prise en charge du réseau et utilisez :
      KAV - Kaspersky Online Scanner (sous Internet Explorer et avec la technologie ActiveX autorisée)
      http://assiste.com/p/antivirus_gratuits ... _full.html
      Si vous n'arrivez pas à utiliser KAV (vous avez désactivé la technologie ActiveX et ne savez plus comment la ré-activer...), utilisez alors
      HouseCall - Trend Micro (sous Internet Explorer ou, de préférence, sous Firefox. Technologie Java autorisée)
      http://assiste.com/p/antivirus_gratuits ... ligne.html

    19. Fin de la procédure PAD
      Si vous avez pu suivre toutes ces étapes, c'est ici que se termine la procédure PAD. Travaillez normalement et observez le comportement de votre ordinateur.

      • Si votre PC n'est plus infecté

        • Supprimez les outils utilisés (VundoFix, VirtumundoBeGone, SmitfraudFix, Navilog1, HijackThis) mais conservez CCleaner
        • Supprimer tous les points de restauration et en recréer un
          Des parasites peuvent traîner dans les points de restauration du système (ce sont les fichiers infectés signalés dans les répertoires inaccessibles "System Volume Information"). Ils sont sans danger tant que l'on ne fait pas une restauration du système. Lire ceci pour comprendre pourquoi cela peut arriver et pourquoi les antivirus et anti-trojans ne peuvent en venir à bout "naturellement" :
          http://assiste.com.free.fr/p/comment/le ... ation.html.

          Pour nettoyer ces zones il va falloir les supprimer complètement. Il faut réunir deux conditions simultanées, sinon ne le faites pas. En effet, il est préférable de conserver un point de restauration infecté que pas de point de restauration du tout.

          Si, et seulement si
          • votre PC est entièrement décontaminé (hormis les parasites qui traînent dans les points de restauration du système)
          • des parasites sont signalés dans les points de restauration du système
          faites ce qui suit :
        • Considérez les recommandations de réglages et d'implémentation de couches et outils de sécurité pour que cela ne se reproduise plus (mises à jour, désactivation de la technologie ActiveX, de WSH, navigation sous Firefox, courrier sous Thunderbird etc. ...)
          Kit de Sécurité
        • Considérez de faire une donation
          Donation
      • Si votre PC est encore infecté

        • Seconde exécution de HijackThis
          Dito la première utilisation (Ordinateur démarré normalement et sous un compte avec droits administratifs). Exécutez HijackThis afin de produire un second journal que vous conserverez sous le nom de HJT2.txt.
        • Utilisez Navilog1 (de IL-MAFIOSO), Option 1
          Fermer toutes les applications actives.
          Faire un double clic sur navilog1.exe pour lancer l'installation.
          Une fois l'installation terminée, l'outil s'exécutera automatiquement.
          (Si ce n'est pas le cas, faire un double clic sur le raccourci Navilog1 présent sur le Bureau).

          Suivre les indications affichées.
          Sur le menu principal, choisir l'option 1 et valider.
          (ne pas choisir les options 2,3 ou 4 sans notre avis/accord)

          Attendre jusqu'au message :
          *** Analyse Termine le ..... ***
          Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
          Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
          Enregistrer ce fichier sous le nom navi1.txt
          Copier l'intégralité du contenu de la fenêtre du Bloc-notes en réponse.
          Fermer le Bloc-notes.
          Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
        • Envoyez vos rapports pour une demande d'analyse
          Envoyez le contenu du second rapport HijackThis (HJT2.txt)
          Envoyez le contenu du rapport Navilog1 (navi1.txt)


28.11.2004 : Modification
09.07.2006 : Liens mis à jour (V4)
22.07.2006 : Liens mis à jour (V4)
30.08.2006 : Renommer l'exécutable (fichier HijackThis.exe)
16.03.2007 : Annulation de la modif précédente
28.03.2007 : Correction des liens vers Assiste.com
23.08.2007 : Refonte complète
25.08.2007 : Petits ajustements et ajout alernative HouseCall de Trend à l'usage de Kaspersky Online Scanner
26.08.2007 : Ajout lien vers charte du forum d'analyses HJT et rappel de l'obligation de décrire sa config hard et soft
09.10.2007 : Ajout le § "Assurez-vous de bien voir tous les fichiers et tous les répertoires"
09.10.2007 : Remplacement de F-Secure BlackLight par Navilog1 (de IL-MAFIOSO)
15.10.2007 : Corrigé une "trace" de BlackLite" - Merci à Arka pour sa lecture pointilleuse
15.10.2007 : Ajouté une procédure conditionnelle de nettoyage des points de restauration
02.03.2008 : CCleaner Slim
02.03.2008 : Mise en garde VirtumundoBegone incompatible avec Windows Vista
28.05.2008 : Suppression de AVG Anti-Spyware (qui n'existe plus)
22.07.2008 : Précision sur la version 2.0.2 de HijackThis
Dernière édition par pierre le 15 Oct 2007, 21:42, édité 32 fois.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 23889
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 23 Aoû 2007, 09:03

Totale refonte de la "Mini-manip"

Ré-écriture complète de la mini-manip dont il ne reste rien de la précédente (sauf l'usage de HijackThis).

Elle prend le nom de :

Préliminaires Avant Décontamination (PAD)

Cette nouvelle procédure a deux buts :
  1. Une analyse et un auto-nettoyage approfondis de votre système des parasites "simples" les plus communs
  2. La présentation aux "Assistants" de rapports plus dépouillés, leur permettant de se concentrer uniquement sur les parasites contre lesquels les outils automatiques échouent.

    N'oubliez jamais que les "Assistants" sont des volontaires bénévoles qui prennent sur leur temps, leur vie de famille, leurs obligations, leur travail... pour vous aider.
Il est possible qu'après une telle procédure vous n'ayez même plus besoin de nous consulter. Dans ce dernier cas, il est vital de suivre les recommandations du Kit de Sécurité et d'implémenter les couches de protection suggérées pour maintenir dans le temps le bon état de fonctionnement de votre ordinateur et la protection de votre vie privée.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 23889
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 09 Oct 2007, 15:18

Ajouté étape 2 (les suivantes sont donc renumérotées)
Voir les fichiers et répertoires cachés
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 23889
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 09 Oct 2007, 20:37

Remplacement de F-Secure BlackLight par Navilog1 (de IL-MAFIOSO) qui embarque CatchMe de GMer
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 23889
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 15 Oct 2007, 09:20

Corrigé une "trace" de BlackLite"
Merci à Arka pour sa lecture pointilleuse
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 23889
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 15 Oct 2007, 15:46

Ajouté une procédure conditionnelle de nettoyage des points de restauration dans le point 15
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 23889
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités