Confirmation d'infection ? Résolu/Fermé

Question

Configuration: Windows XP / Internet Explorer 6.0

Bonjour, 

je suis confronté à une attaque informatique que je n'arrive ni à identifier, ni à éradiquer :-( 

Je cherche donc de l'aide... 

Symptômes : freeze de la machine, lenteur apparement générée par une occupation processeur très importante sur le processus LSSAS.EXE, et un troyen détecté par Avira Antivir Personnal 

Je n'ai rien relevé qui me choque sur les logs Hijackthis, mais il est vrai que je ne suis pas expert ! J'ai également lancé un scan avec GMER, qui me sort notamment un nom de fichier .sys qui change à chaque nouveau démarrage de la machine... 

Si quelqu'un pouvait jeter un oeil au log de GMER attaché, et me donner une orientation, je lui serais très reconnaissant... 

http://www.cijoint.fr/cjlink.php?file=cj201005/cij7AAyt5c.txt  

Merci par avance, 

Bobflo

Utilisateur anonyme · Answer

Bonjour
C'est le logiciel Daemon Tool qui pose problème, c'est à cause de ce logiciel que 
ce fichier change de nom à chaque redémarrage du PC

bobflo · Answer

Bonjour,

merci pour ta réponse.

En fouillant sur le net, j'avais compris qu'il y avait un lien... je l'ai donc désinstallé depuis le scan (désolé, je réalise que c'est pas très malin, j'aurais dû faire un autre scan depuis).

Y-a-t-il "autre chose" de bizarre dans le log ?

Merci par avance...

Bobflo

Utilisateur anonyme · Answer

je ne vois rien d'anormal dans le rapport de gmer
si tu veux en être sûr si le PC est infecté ou pas, on va faire un examen complet
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

bobflo · Answer

Re,

bon, ça se précise... Avira AntiVir Personal m'a trouvé 3 Troyans :
- TR/Spy.Gen2
- TR/Orsam.A.2712
- TR/Agent.18432.BI

Quelques questions :
- Comment être sûr que Antivir a bien tout trouvé ?
- Le fait de supprimer les fichiers mis en quarantaine par Antivir est-il suffisant ?
- Les 2 derniers troyans se trouve dans D:\Systeme volume information\_restore{etc...}\RP441\A0108058.exe -> cela signifie-t-il que mes points de restaurations sont infectés ? Si oui, comment les nettoyer ?
- dernière question : ci-dessous un log fraichement établi par HijackThis. A quoi corresponde les lignes O2 - BHO: (no name) etc...



Merci d'avance à nouveau pour votre aide...

Bobflo.


PS : je travaille sur 2 machine : la machine infectée est maintenant déconnectée du net et de mon réseau, là je vous écris depuis une machine saine qui vient de mon boulot ;-)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:01, on 08/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\ASUS PC Probe II\Probe2.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\CyberLink PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\ASUS\AASP\1.00.63\aaCenter.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Flo\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

bobflo · Answer

Re,

bon, ça se précise... Avira AntiVir Personal m'a trouvé 3 Troyans :
- TR/Spy.Gen2
- TR/Orsam.A.2712
- TR/Agent.18432.BI

Quelques questions :
- Comment être sûr que Antivir a bien tout trouvé ?
- Le fait de supprimer les fichiers mis en quarantaine par Antivir est-il suffisant ?
- Les 2 derniers troyans se trouve dans D:\Systeme volume information\_restore{etc...}\RP441\A0108058.exe -> cela signifie-t-il que mes points de restaurations sont infectés ? Si oui, comment les nettoyer ?
- dernière question : ci-dessous un log fraichement établi par HijackThis. A quoi corresponde les lignes O2 - BHO: (no name) etc...



Merci d'avance à nouveau pour votre aide...

Bobflo.


PS : je travaille sur 2 machine : la machine infectée est maintenant déconnectée du net et de mon réseau, là je vous écris depuis une machine saine qui vient de mon boulot ;-)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:44:01, on 08/05/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\ASUS PC Probe II\Probe2.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\Program Files\CyberLink PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\ASUS\AASP\1.00.63\aaCenter.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Flo\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - D:\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

bobflo · Answer

nathandre 9594Messages postés
 
29 avril 2009Date d'inscription
 
8 mai 2010Dernière intervention
 8 mai 2010 à 15:49 
je ne vois rien d'anormal dans le rapport de gmer 
si tu veux en être sûr si le PC est infecté ou pas, on va faire un examen complet 
* Télécharge ZHPDiag (de Nicolas Coolman) 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
Héberge le rapport ICI


Nos réponses se sont croisées... je tente le coup avec ZHPDiag... merci ;-)

Utilisateur anonyme · Answer

Oui, les points de restauration sont infectés, cela se supprime en purgeant 
la restauration système, on le fera à la fin 

02-BHO Browser Helper Objects, ces lignes correspondent aux extensions du 
navigateur: 
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)  
Légitime 
https://www.systemlookup.com/accessverify.php?redirect=CLSID%2F38753-mnyviewer_dll_MNYVIE_1_DLL.html 

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll 
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll  
Légitimes 


O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)  
Légitime 
https://www.systemlookup.com/accessverify.php?redirect=CLSID%2F20643-Ycomp_dll_Ycomp_dll_yt_dll.html 


Vide la quarantaine d'Antivir
Pourrai tu faire ZHPDiag, je t'ai donné la procédure plus haut

bobflo · Answer

Voici le résultat de l'analyse de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijnaTFGWz.txt 

Merci d'avance...

Utilisateur anonyme · Answer

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Si c'est le cas, continue comme ça :

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

bobflo · Answer

Re !

Bon, et bien user & kernel MBR OK "du premier coup". Plutôt "rassurant", contrairement à ce que j'avais lu dans le rapport de ZHPDiag, qui commençait à me faire flipper...

Quelle action lancer, maintenant ?

Merci,

A+

Utilisateur anonyme · Answer

Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
MSIE: Internet Explorer v6.0.2900.2180

Quelle action lancer, maintenant ? 
Ton PC comporte de grosses failles de sécurité, il risque d'être plus
vulnérable aux attaques de cochonneries en tout genre qui vont
exploiter ces failles

on le fera après
C'est dangereux de garder un PC qui n'est pas à jour

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau
http://sd-1.archive-host.com/...
double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Une fois terminée , clic sur "terminer" et le programme se lancera seul

Choisis l'option Search

Une icône blanche et noire va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
Une autre rouge et noir te servira a désinstaller le prog a la fin de la désinfection.

? laisse travailler l'outil

A l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

Un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

bobflo · Answer

Re,

Merci de t'occuper de mon sort !

Je pensais pas que mon PC était une passoire à ce point (j'avoue être assez surpris) : c'est bon à savoir !

Voici le log de List_kill'em : http://www.cijoint.fr/cjlink.php?file=cj201005/cijs6jJZOO.txt 

Que fait-on après ?

Merci,

A+

Utilisateur anonyme · Answer

? Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

? choisis l'Option Clean

Ton PC va redemarrer,

Laisse travailler l'outil.

En fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

? Colle le contenu dans ta réponse

bobflo · Answer

Voilà qui est fait... voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijUMUmAzu.txt 

Que faire ensuite ?

Merci,

A+

Utilisateur anonyme · Answer

J'ai constaté 2 autres failles de sécurité, une petite avec Adobe, et une grosse
Avec Java

Les mises à jours vont se faire après
Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

bobflo · Answer

Quand tu dis "il va se mettre à jour une fois faite", est-ce que ça sous-entend mise à jour sur le net ? car pour l'instant, le PC est déconnecté du routeur...

Utilisateur anonyme · Answer

pourquoi tu l'as déconnecté du routeur ?

bobflo · Answer

Oui ! Fallait pas ? :-/

Utilisateur anonyme · Answer

Il faut le reconnecter au routeur, car tu pourras télécharger Malwarebytes avec

bobflo · Answer

OK !

Je relance l'analyse après mise à jour de Malwarebytes ;-)


A+

PS : je dois m'absenter...merci pour toutes tes réponses et le temps passé ! J'éspère qu'on pourra poursuivre ensemble plus tard ;-)

bobflo · Answer

Bonjour,


J'ai donc lancer un premier scan complet avec Malwarebbytes (avant reconnexion au routeur), et c'est pas très bon... : il a trouvé :
 - 2 fichier .exe infectés par un troyan (Trojan.Bancos)
 - 1 fichier .exe infecté par un malware (Malware.Packer.Krunchy)
 - le "reste" est clean
Au cours de ce scan, Avira Antivir Personnal m'a détecté en parallèle :
 -  un virus dans List_Kill'em (!) : Hiddenext/Crypted (j'ai demandé de bloquer l'accès, pour l'instant)
 - 2 x TR/Spy.Gen2 (dans la restauration système)



J'ai relancé Malwarebytes en scan compet après mise à jour, et il a retrouvé :
 - 1 troyan (dans la restauration système)
Et en parallèle, Antivir Avira Personnal a retrouvé 3 "nouveaux" Troyans qu'il n'avait jamais trouvé jusqu'ici, malgré un scan complet récent !!! :
 - 3 x TR/Trash.Gen (dans la restauration système) !
et le virus dans List_Kill'em pour lequel j'ai à nouveau demandé de bloquer l'accès.


Voici mes nouvelles questions - remarques:
- j'en reviens pas de tout ce qu'il y a dans ma machine ! 
- est-ce que je tue le virus de List_Kill'em ?
- la restauration système semble pleine de saletés... ça m'inquiéte...
- comment ce fait-il que le troyans TR/Trash.Gen ait été detecté seulement maintenant, et jamais avant ? Est-il possible qu'il y ait un "générateur" de Troyans dans ma machine ???


Que dois-je faire maintenant  ?  Merci à nouveau d'avance pour votre aide.

A+

Bobflo.



PS : Voici le dernier log de Malwarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4079

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

09/05/2010 09:55:10
mbam-log-2010-05-09 (09-55-10).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 285910
Temps écoulé: 8 heure(s), 14 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\System Volume Information\_restore{19E46A35-D97A-4798-8EA3-0849F7CD53A9}\RP449\A0116333.exe (Trojan.Bancos) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Bonjour
- est-ce que je tue le virus de List_Kill'em ?
Antivir a ramassé une cochonnerie dans la quarantaine de List Kill'em
Tu le vires

- la restauration système semble pleine de saletés... ça m'inquiéte...
Les points de restauration sont infectés, c'est normal, tous les nuisibles
se dissimulent dedans, on va les virer en purgeant la restauration
système, il ne faut pas du tout s'inquiéter

- comment ce fait-il que le troyans TR/Trash.Gen ait été detecté seulement maintenant, et jamais avant ? Est-il possible qu'il y ait un "générateur" de Troyans dans ma machine ??? 
C'est parce que ces petits malins se sont dissimulés dedans après
Ne touche pas aux points de restauration
Ce sont des malwares qui ont infecté les points de restauration

bobflo · Answer

Bonjour Nathandre,

J'ai viré le virus de List Kill'em.

J'ai refait un scan complet avec MalwareBytes, puis avec Avira Antivir Personnal, et là, ni l'un ni l'autre ne trouvent de traces maintenant ! Ça semble s'arranger doucement...

Ceci dit, je n'ai pas rebooté le pc entre les scans de ce matin, et les scans de cet après-midi...

que dois-je faire maintenant ?

Merci d'avance,

A+

Bobflo

Utilisateur anonyme · Answer

Purge de la restauration système

*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système                                                                                            Coche la case désactiver la restauration                                                            Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur Poste de travail,  clique sur Propriétés, puis sur Restauration système                                                                                           Décoche la case désactiver la restauration                                                                                                                                                                       Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accèssoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement

bobflo · Answer

Ok, voilà qui est fait.

Avant de pouvoir créer mon nouveau point de restauration, Windows XP m'a demandé si je voulais réactivé la restauration systéme. N'ayant d'autre choix (sinon, impossible d'accéder à la création du nouveau point de restauration), j'ai accepté...

Que faut-il faire maintenant ?

Merci,

A+

Utilisateur anonyme · Answer

tu crées le point de restauration propre

bobflo · Answer

Je l'ai fait également ;-)

Et pour la suite ?

Utilisateur anonyme · Answer

* Télécharge ToolsCleaner2 sur ton Bureau 
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
                          
supprime toolscleaner2 manuellement



Un dernier petit nettoyage pour ton PC:

Télécharge C Cleaner Slim
   * Enregistre le sur le Bureau
   * Double-clique sur le fichier pour lancer l'installation
   * Sur la fenêtre de l'installation langage bien choisir français et OK
   * Clique sur suivant
   * Lit la licence, et clique sur j'accepte
   * Clique sur suivant, sur installer, puis sur fermer
   * Double-clique sur l'icône de C Cleaner pour l'ouvrir
   * Clique sur option, et puis avancé
   * Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
   * Clique sur nettoyeur
   * Clique sur windows, et dans la colonne avancé
   * Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
   *  Clique sur analyser 
   *Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
   * Clique maintenant sur registre et puis sur chercher les erreurs
   *  Laisse tout coché, et clique sur corriger les erreurs sélectionnées
   *Il te demande de sauvegarder OUI
   *Tu lui donnes un nom pour pouvoir la retrouver et enregistre
   * Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
   * Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
   *Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
   * Tu peux fermer C Cleaner

Je te prépare les mises à jour à installer

bobflo · Answer

Re,

J'ai fait le nettoyage avec toolscleaner2, pas de probléme. Voici le rapport :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Documents and Settings\Flo\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Flo\Bureau\mbr.log: trouvé !
C:\Documents and Settings\Flo\Bureau\mbr.exe: trouvé !
C:\Documents and Settings\Flo\Bureau\dds.scr: trouvé !
C:\Documents and Settings\Flo\Bureau\dds.txt: trouvé !
C:\Documents and Settings\Flo\Local Settings\Temp\3.tmp\dds.txt: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.log: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Flo\Bureau\HijackThis.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Documents and Settings\Flo\Bureau\mbr.log: supprimé !
C:\Documents and Settings\Flo\Bureau\mbr.exe: supprimé !
C:\Documents and Settings\Flo\Bureau\dds.scr: supprimé !
C:\Documents and Settings\Flo\Bureau\dds.txt: supprimé !
C:\Documents and Settings\Flo\Local Settings\Temp\3.tmp\dds.txt: supprimé !
C:\Program Files\List_Kill'em\mbr.log: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Fichiers temporaires nettoyés !


Pour C Cleaner Slim, j'ai quelques questions avant de lancer... Peux-tu me confirmer si :
1) je ne coche que cette case ?
2) j'ai coché cette case...
3) je laisse toutes ces cases cochées ?
http://img576.imageshack.us/img576/3929/ccleanerv.jpg

Merci encore,

Bobflo

Utilisateur anonyme · Answer

Si tu veux garder les cookies et l'historique, décoche ces cases, sinon, laisse les autres cases cochées

bobflo · Answer

OK, merci, j'ai lancé les 2 actions de CCleaner.

CCleaner a bien fonctionné sur les "fichiers"; il butte en revanche sur une clé de registre (toujours la même) : HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Il a beau me dire que l'erreur est corrigée (effacement de la valeur du registre), à chaque fois que je relance une analyse, il me retrouve cette clé et me repropose la même correction "inefficace"...

A noter que c'est la seule erreur du registre restante signalée par CCleaner, toutes les autres entrées ont bien été corrigées/nettoyées.

Que dois-je faire maintenant ?

Merci, A+

bobflo · Answer

J'ai trouvé une piste pour cette clé : apparement, elle est liée à Avira Antivir 
Personnal.... https://forums.commentcamarche.net/forum/affich-11753611-cle-registre-recalcitrante-sous-ccleaner

J'imagine qu'on doit pouvoir la laisser telle quelle... non ?

Utilisateur anonyme · Answer

Laisse cette clé, elle ne fera rien de mal 



Ton Windows n'est pas du tout à jour, et il est vulnérables aux attaques 
Télécharge le Service Pack3 pour Windows XP 
http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e 


Je te conseille vivement de changer la version d'internet explorer 
car celui présent dans ton PC est exploitable par les infections 
Je te propose Internet Explorer 8 plus sûr 
Télécharge la nouvelle version d'Internet Explorer 
https://support.microsoft.com/fr-fr/allproducts 
Ensuite, désinstalle l'ancienne version 

Adobe n'est pas à jour 
Ouvre Adobe, clique sur aide, et sur rechercher les mises à jour 
Ensuite, fait ceci: 
* Lance Adobe Reader 
* Clique sur Edition --> Préférences --> JavaScript 
* Décoche Activer Acrobat JavaScript 
* Valide 
C'est pour désactiver l'interprétation de Javascript dans Adobe, 
car c'est source d'infections, et cela ne sert à rien 

Java n'est pas du tout à jour 
Télécharge JavaRa.zip sur ton bureau 
http://prm753.bchea.org/JavaRa.zip 

Clic droit dessus, puis clique sur extraire tout 
Double-clique dessus pour le lancer. Il est possible que le .exe n'apparaisse pas 
Clique sur Search for updates 
Sélectionne Update using jucheck.exe, puis clique sur Searche 
Si le processus demande à se connecter, accepte, puis clique sur install, 
et suis les instructions. Patiente le temps de l'installation 
Une fois l'installation terminée, revient à l'écran de JavaRa, et clique sur Remover 
Older Versions 
Clique sur oui pour confirmer 
L'outil va travailler, clique sur OK, puis encore sur OK 
Poste le rapport (C:\JavaRa.log) 
Ferme l'application 

Télécharge la nouvelle version 
https://java.com/fr/

bobflo · Answer

Re !

Merci pour tes infos.

SP3, je ne l'avais pas installé, car je me disais que le PC marchait bien avec SP2, alors je m'étais dit "pourquoi tenter le diable" ? Basique comme raisonnement, je sais :-/  ... je vais faire la mise à jour.

Pour IE, je ne l'utilise plus. J'utilise Firefox, maintenant... Est-ce qu'il me faut malgré tout updater Internet explorer, ou désinstaller IE ?

J'ai tenté la mise à jour de Acrobat reader, il me dit qu'il n'y a pas de mise à jour dispo... J'imagine que c'est bon... J'ai ensuite procédé à la désactivation Acrobat javascript comme conseillé ;-)

Et pour finir, j'ai mis à jour java, le rapport est ici :
http://www.cijoint.fr/cjlink.php?file=cj201005/cij6skU6ns.txt

D'autres action à mener ?

Merci,

A+

Bobflo

Utilisateur anonyme · Answer

Les problèmes que tu as expliqué au début ont-ils disparu ?

bobflo · Answer

En effet, la situation c'est stabilisée : plus de freeze, et plus de problème avec LSSAS.exe... donc on peut dire que la situation semble s'être réglée !

Dis-moi si tu vois d'autres choses à faire, sinon, je pense que je peux classer ce topic dans les "résolus" !

Merci,

A+

Utilisateur anonyme · Answer

Bonjour 
Dernières recommandations pour préserver et entretenir ton PC: 

*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et 
pense à le mettre à jour avant chaque scan. 
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité 
*Nettoye ton PC régulièrement avec C Cleaner. 
*Il faut défragmenter régulièrement le disque dur pour éviter les ralentissements, 
et une usure trop rapide du disque dur. 
*Soit prudent quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit  
et que tu le mets à jour, il faut refuser les compléments, telles que les barres d'outil. 
*Ne télécharge pas de logiciel que tu ne connais pas, sur des sites que  
tu ne connais pas. 
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation, 
si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité. 
Je conseille de télécharger les logiciels sur les sites officiels. 
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car 
on risque de télécharger avec des fichiers infectés. Attention, ne télécharge jamais  
de cracks avec les logiciels P2P, car tu risques d'attraper le Bagle (ver), ou le Virut,  
virus dangereux. 
*Sache que le meilleur anti-virus, c'est ta propre vigilence. 
*Fait très attention aussi aux pubs qui proposent des faux logiciels de sécurité,  
je t'en ai parlé plus haut 
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont  
néfastes. Ils peuvent modifier la page d'accueil et la base de registre. 
*Il est indispensable de faire des sauvegardes régulièrement dans un support 
externe, car en cas d'infection, tu auras un double des tes documents importants. 



Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite 
un site dangereux 
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 

Pour ceux qui ont Internet Explorer 8, je recommande ce 
module qui prévient si on visite un site dangereux 
https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

bobflo · Answer

Bonjour,

Merci pour tous ces conseils, et le temps passé à m'aider !

Je vais appliquer ces recommandations ;-)


Je me répète, mais vraiment, grand merci pour le temps passé !

A+

Bobflo.

Utilisateur anonyme · Answer

Bonsoir 
Ce fut avec un grand plaisir de t'avoir aidé 
Bonne soirée

Confirmation d'infection ?

39 réponses

Discussions similaires