> Tous les forums > Forum Sécurité
 PC infecté virus "Backdoor:Win32/Cycbot.B."Sujet résolu
Ajouter un message à la discussion
Pages : 1 [2] 3 ... Fin
Page 2 sur 3 [Fin]
alea_titi
 Posté le 03/01/2011 à 15:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : SysProtLog.txt

Fill
 Posté le 03/01/2011 à 16:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Pas grand chose de visible dans ces rapports.

Ce qui est sûr, c'est que tu as peu de place sur ton disque dur, et cela peut entrainer de gros désordres.

1/

  • Télécharge TFC par Old_Timer sur ton Bureau,
  • Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  • L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  • Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  • Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, fais-le redémarrer manuellement le PC toi-même pour parachever le nettoyage.

2/

  • Télécharge Ccleaner Slim sur le Bureau,
  • Installe-le,
  • Ouvre ccleaner et clique sur "Lancer le nettoyage".

3/ Ouvre ZHPfix et clique sur "Proxyfix" à droite.

Redémarre le pc et édite le rapport ZHPfixreport.txt

4/ Vérifie si tu peux te connecter à Internet avec ton navigateur. Si tu n'y parviens pas, essaie d'utiliser un autre navigateur. Dis-moi ce qu'il en est.

5/ Essaie de faire une mise à jour avec malwarebyte's et fais une analyse rapide. Edite le rapport. Si la mise à jour est impossible, fais une analyse rapide avec la base que tu possèdes.

Fill

alea_titi
 Posté le 03/01/2011 à 19:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Yes!! Merci Fill! Tout est rentré dans l'ordre (Connection, pare-feu...) après la manip de TFC et Ccleaner ainsi qu'un reboot de la bête. J'ai également désinstallé Comodo Firewall.

En tout cas je vais essayer de trouver un autre Pare-Feu et également un autre antivirus que AVG!! Je ne sais pas comment j'ai chopé ce virus, j'ai prêté mon ordi à mon copain quelques jours et quand je l'ai retrouvé il était infecté (sûrement un mail qu'il a ouvert).

Y a-t-il autre chose que je doive faire pour m'assurer qu'il n'y a plus de bestiole dans mon ordi?

En tout cas je marque le sujet comme ENFIN résolu!! MERCI encore à toi ainsi qu'à Australien et Daniellapin pour votre assistance et vos compétences!{#}

Fill
 Posté le 03/01/2011 à 20:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

alea_titi a écrit :

Yes!! Merci Fill! Tout est rentré dans l'ordre (Connection, pare-feu...) après la manip de TFC et Ccleaner ainsi qu'un reboot de la bête. J'ai également désinstallé Comodo Firewall.

En tout cas je vais essayer de trouver un autre Pare-Feu et également un autre antivirus que AVG!! Je ne sais pas comment j'ai chopé ce virus, j'ai prêté mon ordi à mon copain quelques jours et quand je l'ai retrouvé il était infecté (sûrement un mail qu'il a ouvert).

Y a-t-il autre chose que je doive faire pour m'assurer qu'il n'y a plus de bestiole dans mon ordi?

En tout cas je marque le sujet comme ENFIN résolu!! MERCI encore à toi ainsi qu'à Australien et Daniellapin pour votre assistance et vos compétences!{#}

Re,

Ben justement, c'est pas "résolu". J'aurais aimé que tu édites les rapports demandés. J'ai pas terminé toutes les vérifs, et il est plus que préférable d'aller au terme d'une désinfection.

Fill

alea_titi
 Posté le 03/01/2011 à 23:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ah OK pardon c'est vrai que je me suis réjouie un peu trop vite... Voici les rapports

alea_titi
 Posté le 03/01/2011 à 23:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : mbam-log-2011-01-03 (23-15-02).txt

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5450

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03/01/2011 23:15:08
mbam-log-2011-01-03 (23-15-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 140474
Temps écoulé: 6 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

* SVP, copiez/collez les rapports qui sont courts directement dans un message, ne les hébergez pas. Merci.

alea_titi
 Posté le 03/01/2011 à 23:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010
Fichier d'export Registre :
Run by Foliance at 03/01/2011 23:05:45
Windows XP Home Edition Service Pack 3 (Build 2600)
Contact : nicolascoolman@yahoo.fr
========== Valeur(s) du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
========== Récapitulatif ==========
1 : Valeur(s) du Registre
End of the scan

Rapport de ZHPFix 1.12.3233 par Nicolas Coolman, Update du 30/12/2010

Fichier d'export Registre :

Run by Foliance at 03/01/2011 23:05:45

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========

ProxyFix : Configuration proxy supprimée avec succès

========== Récapitulatif ==========

1 : Valeur(s) du Registre

End of the scan



Modifié par alea_titi le 04/01/2011 00:14
alea_titi
 Posté le 03/01/2011 à 23:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

MBAM A trouvé le trojan Conhost... Aïe

Publicité
alea_titi
 Posté le 03/01/2011 à 23:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Au fait j'ai aussi trouvé plein de trucs dans la quarantaine de AVG:

Cheval de Troie: Backdoor.Generic13.ZSM

Cheval de Troie: Backdoor.Hackdoor.R

Cheval de Troie: Generic20.BCLG

Cheval de Troie: Backdoor.Generic13.ZSQ

J'en fais quoi de tout ça?

Fill
 Posté le 04/01/2011 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir,

1/ Tu peux vider la quarantaine d'AVG.

2/

  • Télécharge OTM (de Old_Timer) sur ton bureau,
  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

Begin copying here:

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"conhost"=-

:Files
%APPDATA%\Microsoft\conhost.exe
c:\Documents and Settings\test user\Application Data\dwm.exe


:Commands
[ClearAllRestorePoints]
[EmptyFlash]
[EmptyTemp]
[Start Explorer]

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

3/ Fais une analyse en ligne en suivant ce tuto et édite le rapport.

Fill



Modifié par Fill le 04/01/2011 18:58
alea_titi
 Posté le 04/01/2011 à 20:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Fill, je poste les rapports OTM, ainsi qu'un rapport Minidump car au redémarrage après la manip OTM, le PC a rebooté avec un écran bleu avec plein de trucs écrits.

De plus depuis cette procédure je ne peux plus accéder au poste de travail par son raccourci sur le bureau, windows me met un message d'erreur. Je ne peux plus non plus restaurer le système.

Autre chose, j'ai installé le firewall Jetico et une fenêtre me solicite sans cesse pour autoriser ou bloquer l'application C:\WINDOWS\System32\csrss.exe qui demande un accès au réseau, et quoique je coche, cette fenêtre de Jetico revient tout le temps...

Voilà c'est un peu la pagaille sur mon petit Asus...

Je vais maintenant tenter le scan ESET.



Modifié par alea_titi le 04/01/2011 20:16
alea_titi
 Posté le 04/01/2011 à 20:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

All processes killed
Error: Unable to interpret <Begin copying here:> in the current context!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\conhost deleted successfully.
========== FILES ==========
File/Folder C:\Documents and Settings\Foliance\Application Data\Microsoft\conhost.exe not found.
File/Folder c:\Documents and Settings\test user\Application Data\dwm.exe not found.
========== COMMANDS ==========

Restore points cleared and new OTM Restore Point set!

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Foliance
->Temp folder emptied: 776395 bytes
->Temporary Internet Files folder emptied: 547611 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 23986411 bytes
->Google Chrome cache emptied: 6204550 bytes
->Flash cache emptied: 456 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 65364 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 804346 bytes

Total Files Cleaned = 31,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 01042011_195007

Files moved on Reboot...

Registry entries deleted on Reboot...

Files moved on Reboot...

Registry entries deleted on Reboot...

alea_titi
 Posté le 04/01/2011 à 20:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
alea_titi
 Posté le 04/01/2011 à 20:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Pour le scan ça va être un peu difficile car maintenant le PC plante complètement un peu après qu'il ait démarré, même en mode sans échec... Que dois-je faire?

Fill
 Posté le 04/01/2011 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Curieux car on n'a rien fait de spécial si ce n'est supprimer cette valeur de registe infectieuse.

Le problème est causé par un module d'AVG : AVGIDSAgent.exe

Essaie de désinstaller AVG, quitte à le ré-installer après.

Jetico ?

Arfff. Tu ne t'attaques pas au plus facile. Il n'est pas simple du tout à paramétrer.

Fill

alea_titi
 Posté le 04/01/2011 à 20:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bon le scan a démarré on va voir s'il va jusqu'au bout sans planter...

Publicité
alea_titi
 Posté le 04/01/2011 à 21:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ben non rien à faire ça plante au bout d'un moment... Je vais voir pour AVG.

Qu'est ce que je pourrais installer comme pare-feu?

Fill
 Posté le 04/01/2011 à 21:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Pour le moment, afin de réduire les interférences, utilise simplmeent le pare-feu de xp et vire Jetico.

On verra à la fin ce qu'il convient de faire.

Fill



Modifié par Fill le 04/01/2011 21:07
alea_titi
 Posté le 04/01/2011 à 21:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bon OK après désinstallation de AVG et Jetico j'ai relancé le scan...

alea_titi
 Posté le 05/01/2011 à 09:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport ESET:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=7.00.6000.17093 (vista_gdr.101017-1200)
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=22cd44f52d3b0c4b8fd36a74d7345d8b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-01-04 11:33:29
# local_time=2011-01-05 12:33:29 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1024 16777215 100 0 3917667 3917667 0 0
# compatibility_mode=1797 16774142 0 6 84290 28338978 0 0
# compatibility_mode=6143 16777215 0 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 7308 7308 0 0
# scanned=140643
# found=4
# cleaned=0
# scan_time=11370
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\Omdd.rar Win32/HackKMS.A application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\activator\mini-KMS_Activator_v1.051.exe Win32/HackKMS.A application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\Microsoft Office 2010\MICROSOFT OFFICE 2010.VF.32.BIT.FRENCH.RETAIL.FINAL.BY.PARISIEN99.SMS.iso Win32/HackKMS.A application (impossible de nettoyer) 00000000000000000000000000000000 I
C:\Documents and Settings\Foliance\Mes documents\regles backgammon.html JS/TrojanDownloader.Agent.NVS cheval de troie (impossible de nettoyer) 00000000000000000000000000000000 I

Fill
 Posté le 05/01/2011 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/ Commence par supprimer tous les cracks présents sur ta machine. Faut pas s'étonner d'avoir un pc infecté avec ce genre de saletés

  • Ce forum aide gratuitement à la désinfection des machines en échange d'une prise de conscience des dangers liés à l'usage d'Internet. On n'est que rarement infecté accidentellement. C'est d'ailleurs rassurant pour tous ceux qui sont prudents. La plupart des sources d'infections sont véhiculées par les logiciels de partage de fichiers (torrent, p2p), par l'utilisation de cracks ou keygens et par des sites à contenus pornographiques. Je t'invite donc à changer en profondeur tes habitudes de surf, pas pour des raisons morales ou juridiques, mais simplement parce que si tu recommences, ta machine sera irrémédiablement ré-infectée, quelles que soient d'ailleurs les protections que tu pourrais envisager.
  • Tu te demandes sans doute quel est l'intérêt de véhiculer des infections ? Pour les $$$, les € et les roubles.
  • Une machine compromise peut être intégrée dans un botnet. Ces réseaux de machines zombies peuvent mener des attaques contre des sites Internet légitimes, envoyer du spam (pub ou pièces jointes infectieuses). Cette machine peut également être utilisée pour stocker des fichiers illégaux (peut-être pédo-pornographique), ou espionnée pour y dénicher des mots de passe ou des identifiants bancaires, paypal etc...
  • Tape sur ce lien quelques-uns des noms d'infections décelées sur ta machine pour t'en convaincre.
  • Le jeu en vaut-il la chandelle ? Je t'invite donc à désinstaller tous les logiciels de partage de fichiers et les cracks/keygens que tu peux avoir.
  • J'aide les gens infectés accidentellement et de bonne foi. Maintenant, si tu te retrouves infecté pour les mêmes raisons, tu ne pourras plus dire que tu ne savais pas.

2/

  • Télécharge OTM (de Old_Timer) sur ton bureau,
  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

Begin copying here:

:Files
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\Omdd.rar
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\activator
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\Microsoft Office 2010\MICROSOFT OFFICE 2010.VF.32.BIT.FRENCH.RETAIL.FINAL.BY.PARISIEN99.SMS.iso
C:\Documents and Settings\Foliance\Mes documents\regles backgammon.html


:Commands
[EmptyFlash]
[EmptyTemp]
[Start Explorer]

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

3/ Comment se comporte le pc ? Si tout va bien, on passe aux dernières étapes.

Fill



alea_titi
 Posté le 05/01/2011 à 15:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Voici le rapport OTM ci dessous. Il est vrai qu'après cette "aventure" je vais réfléchir à tout ce que je vais et à qui je prête l'ordi! Je n'étais même pas consciente de certaines applications présentes sur mon ordi, mais je vais faire plus attention...

All processes killed
========== FILES ==========
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\Omdd.rar moved successfully.
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\activator folder moved successfully.
C:\Documents and Settings\Foliance\Bureau\Logiciels divers (utilitaires, multimédia)\Microsoft Office 2010\MICROSOFT OFFICE 2010.VF.32.BIT.FRENCH.RETAIL.FINAL.BY.PARISIEN99.SMS.iso moved successfully.
C:\Documents and Settings\Foliance\Mes documents\regles backgammon.html moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Foliance
->Temp folder emptied: 781148 bytes
->Temporary Internet Files folder emptied: 262144 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 731310 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 496 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 3296 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 76086 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 2,00 mb


OTM by OldTimer - Version 3.1.17.2 log created on 01052011_152126

alea_titi
 Posté le 05/01/2011 à 15:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je poste également un rapport USBFix que j'ai enfin réussi à exécuter sur mon ordinateur:

############################## | UsbFix 7.036 | [Recherche]

Utilisateur: Foliance (Administrateur) # LAETI [ ]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 15:09:17 | 05/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Atom(TM) CPU N280 @ 1.66GHz
CPU 2: Intel(R) Atom(TM) CPU N280 @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.52 [(!) Disabled | Updated]
Firewall: COMODO Firewall 3.9 [Enabled]
RAM -> 1015 Mo
C:\ (%systemdrive%) -> Disque fixe # 82 Go (5 Go libre(s) - 6%) [] # NTFS
D:\ -> Disque fixe # 62 Go (10 Go libre(s) - 16%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 15 Go (14 Go libre(s) - 97%) [USB DISK] # FAT32

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Fill
 Posté le 05/01/2011 à 15:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

1/

  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  • Double-clique sur le raccourci UsbFix sur ton Bureau (Pour Vista, le programme doit être lancé via un clic droit, et il faut choisir d'exécuter en tant qu'administrateur). Choisis l'option Suppression.
  • Cela va lancer la procédure de nettoyage des lecteurs amovibles branchés.
  • Le PC va redémarrer.
  • Après redémarrage, poste le rapport UsbFix.txt
  • Tu as un tuto ici.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

2/

  • Lance OTM.
  • Clique sur CleanUp! et clique sur OK.
  • Une liste apparaît dans la partie gauche d'OTM.
  • Un message apparaît pour confirmer le nettoyage. Confirme.
  • Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.

3/ Ferme toutes les applications en cours, puis télécharge ToolsCleaner (de A.Rothstein et Dj Quiou) sur ton Bureau :

  • Double clique sur ToolsCleaner2.exe -> clique sur -> Recherche et laisse le scan se terminer.
  • Clique sur -> Suppression pour finaliser
  • Clique sur -> Quitter, pour que le rapport puisse se créer.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
  • Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :
    • Ctrl+Alt+Supp pour ouvrir le Gestionnaire des tâches.
    • Puis rends toi à l'onglet "Processus", clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
    • Tape : explorer.exe et valide. Cela fera ré-apparaître ton Bureau.

.
4/
Tu peux par contre, garder Malwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!).

N'oublie pas de vacicner tes clés USB, disques durs externes etc...

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article qui explique les risques d'infections par supports amovibles.
Tu peux télécharger USBSet de Loup Blanc. Voici un tuto pour configurer correctement l'outil préventif. Comment c'est le cas pour tout vaccin, il n'évitera pas toutes les infections par ce type de support mais permet de réduire le facteur de risques en configurant correctement la machine et la clé.


.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
5/

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.
Cela englobe les mises à jour de windows, du navigateur, de Java, des lecteurs pdf, et notamment reader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version De Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
6/

/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activer ou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

7/ Il est très important d'adopter un logiciel permettant de créer des images de son système. En cas de gros plantage, de défaillance matérielle, d'infection incurable, on peut ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet. On peut alors conserver une image disque sur sa machine et sur un support extérieur (Disque dur externe). Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.

Voici DiskWizard, qui est une version bridée gratuite du logiciel Acronis. Elle s'utilise pour les disques de marque Seagate.
Téléchargement : Diskwizard
Tuto : Diskwizard

Pour les disques Western Digital :
Téléchargement : Acronis True Image WD Edition
Tuto : Acronis True Image WD Edition

Pour les disques Maxtor :
Téléchargement : Maxblast
Tuto : Maxblast

Il y a aussi DriveImage, qui offre des fonctionnalités intéressantes. Voici un tuto bien sur le site libellule.
Enfin, on peut aussi citer Drive Backup 9 free edition.

Pour windows7, il y a l'outil natif intégré à cette architecture qui est décrit ici.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : https://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : https://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!

Bon surf et sois prudent !

Fill

alea_titi
 Posté le 05/01/2011 à 19:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Fill, voici les rapports USBFix et Tools Cleaner...

Publicité
Pages : 1 [2] 3 ... Fin
Page 2 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Ami infecté par virus police....
Infecté de la tête au pied ... Virus/spyware/RAT
Virus toolbar pc infecté
PC infecté par le virus Win32/Small.CA
pc infecté par virus office central de lutte
PC infecté par virus police gendarmerie
Pc infecté par virus gendarmerie
PC infecté par virus Gendarmerie Nationale V2
Pc bloque, infecte avec le virus do logo Suisa
PC infecté, virus....
Plus de sujets relatifs à PC infecté virus "Backdoor:Win32/Cycbot.B."
 > Tous les forums > Forum Sécurité