Windows security alert Résolu/Fermé

Question

Bonjour à tous,

Depuis quelques temps je je peux plus cliquer sur un lien sans que la réponse soit bidon.

En clair, je n'ai jamais la page concernée ; souvent une page "Bing" ou plutôt le message "Your compucter is infected" avec une boite de dialogue "Windows security alert"avec une seule option qui me dit de télécharger "Setup_257.exe" pour nettoyer.

J'ai cherché sur le net et apparemment il ne faut pas le faire.

Mon anti virus Avira ne règle rien, ni  Malwarebytes, ni Ccleaner.

Il faut dire que si au lieu de Dcliquer sur le lien je fais un copier / coller de celui-ci dans la barre d'adresse, la bonne page arrive.

Quelqu'un peut-il me conseiller.


Bien à vous qui maitrisez,

Trempass

Windows XP SP3/ Firefox 3.6.4

sKe69 · Answer

Hello, 


on va regarder cela .... 


Copie/colle moi le contenu du rapport de Malwarebytes que tu as obtenu stp (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date). 



Puis fait ceci pour avoir un diagnostique du PC : 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


!! déconnecte toi et ferme toutes tes applications en cours !!  

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .  

> Lance ZHPDiag depuis le raccourci du bureau . 

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) . 

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... ( cela peut-être relativement long ) 


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.  

Ferme le programme ...  



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/  

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .  
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...  
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....  
  



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

trempass · Answer

Merci ske69

Je viens de faire tout cela.

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3970

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

13/05/2010 10:48:33
mbam-log-2010-05-13 (10-48-33).txt

Type d'examen: Examen complet (C:\|F:\|)
Elément(s) analysé(s): 197720
Temps écoulé: 1 heure(s), 1 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Pour le rapport ZHP : http://www.cijoint.fr/cjlink.php?file=cj201005
/cijHgQbkMH.txt



J'attends ton avis,

Cordialement,

Trempass

trempass · Answer

Nouveau rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijuHOFaTz.txt

sKe69 · Answer

Re, 


infecté ...  


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection . 
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre . 
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer . 
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ). 



Commence par ce qui suit dans l'ordre : 




1- Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O42 - Logiciel: Max Registry Cleaner - (.Max Secure Software.) [HKLM] 
[MD5.179B9A2F46244682E72AE2B1D693E3D1] - (.Max Secure Software - Max Registry Cleaner LU.) -- C:\Program Files\Max Registry Cleaner\MaxLURC.exe   [761800]   
[MD5.A2A52985A20AA0D771DEF29C714B8C3B] - (.Max Secure Software www.maxpcsecure.com - RCSystemTray.) -- C:\Program Files\Max Registry Cleaner\MaxRCSystemTray.exe   [651208]   
O4 - HKLM\..\Run: [RCAutoLiveUpdate] . (.Max Secure Software - Max Registry Cleaner LU.) -- C:\Program Files\Max Registry Cleaner\MaxLURC.exe   
O4 - HKLM\..\Run: [RCSystemTray] . (.Max Secure Software www.maxpcsecure.com - RCSystemTray.) -- C:\Program Files\Max Registry Cleaner\MaxRCSystemTray.exe   
O43 - CFD:Common File Directory ----D- C:\Program Files\Max Registry Cleaner 
O64 - Services: CurCS - (.not file.) - MaxNPF (MaxNPF)  .(.Pas de propriétaire - Pas de description.) - LEGACY_MAXNPF   
[HKCU\Software\Jyvxscixoo] 
[HKLM\Software\Max Registry cleaner] 


Puis Lance ZHPFix depuis le raccouci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  


============================ 

2- On va réutiliser Malwarebytes ainsi : 


Mets le à jour ! ( onglet "mise à jour" ) . Recommence jusqu'à ce qu'il n'y est plus de maj disponible ! 
  

! Déconnecte toi et ferme toutes applications en cours !  

* Lance Malwarebytes' . 

Fais un examen dit "RAPIDE" . 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).  
--> à la fin tu cliques sur "résultat" .  
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ... 


=========================== 

3- Refais un scan ZHPDiag . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

trempass · Answer

Bien lu, 

Je vais faire tout ça.

Je suppose que je peux laisser un Notebook branché en Wifi si j'enlève le càble branché à la Freebox du Pc infecté ?

trempass · Answer

Après examen rapide de Malewarebytes, pas de bouton "résultat".

Aucun objet infecté, donc pas de suppression.

Rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijW37NcCg.txt

Je refais un scan ZHPDiag

sKe69 · Answer

impec ...


dis moi où en sont les alertes bidons et les détournements des liens vers de la pub? ... Toujours présent ? ....



Puis fait ceci dans l'ordre : 



1- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
C:\Program Files\Max Registry Cleaner

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).



===========================

2- Télécharge et installe la dernière version de  CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 

===========================

3- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

trempass · Answer

Le résultat est toujours identique.


Les spywares sont différents dans l'affichage.

Les liens sont toujours aussi innattendus : Affichage d'autres moteurs de recherche, page X,...

On me demande d'installer maintenant "packupdate_build106_231.exe", la routine quoi.

En attendant mieux, merci et bonne soirée.

Je reprendrais dès que possible.

Cordialement,

Trempass

trempass · Answer

Bonjour,

Je reprends la suite

Rapport  Ad-Remover : http://www.cijoint.fr/cjlink.php?file=cj201005/cijlPeX1gb.txt


A t'écouter,

sKe69 · Answer

hello, 



on va faire autrement ... 


fait exactement ce qui suit : 


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 
*  Ferme tes applications en cours ( ainsi que ton navigateur ) . 
*  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .   
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après ! 
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ... 
*  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
*  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ). 
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 

Ensuite : 
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil . 
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ... 


-- Pour  XP, l' installation de la Console de Récupération sera demandé : 
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ). 
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif  
*Une fois la console installée, 
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png   
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes :  
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi . 
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire . 
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ... 
-> Si après un reboot éventuel , ton anti-virus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

Le rapport sera crée ici : C:\Combofix.txt  

Réactive bien tes défenses . 

  
Poste le rapport Combofix pour analyse ... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

trempass · Answer

Dois-je débrancher la liaison internet avant de lancer ComboFix?

trempass · Answer

NON : J'ai trouvé la réponse

trempass · Answer

Ai-je fait ce qu'il faut ?

http://www.cijoint.fr/cjlink.php?file=cj201005/cijsahMmpp.txt

sKe69 · Answer

re,


dis moi , ton Windwos est légitimes ? ....



puis fait ceci dans l'ordre :



1- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 



File:: 
c:\documents and settings\All Users\Application Data\Max Secure\Max Registry Cleaner\SYSRegC.dll
c:\documents and settings\All Users\Application Data\Max Secure\Max Spyware Detector\SysSD.dll  

Folder:: 
c:\documents and settings\All Users\Application Data\Max Secure

Driver:: 
MaxNPF


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 


2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


===============================

3- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici)  : 

http://www2.gmer.net/gmer.zip
ou ici http://www2.gmer.net/gmer.zip
 
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Double-clique sur gmer.exe pour lancer l'outil .
* Mets toi bien sur l'onglet "rootkit".
* A droite, vérifie que tout soit coché .
* puis clique sur scan.

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... ) 

* A la fin du scan, clique sur le bouton copy. 
* Puis va dans "démarrer" > "programmes" > "accessoires" : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note. Enfin sauvegarde ce rapport de manière à le retrouver .... 

> poste le rapport stp ...

trempass · Answer

Windows  XP SP3 a été installé par un Pro le 31-12-2009 en même temps que j'ai acheté le DD. Tout du moins la facture l'indique.

trempass · Answer

Suite : http://www.cijoint.fr/cjlink.php?file=cj201005/cijdB7N0yO.txt

Juste un petit souci : au (dé)redémarrage j'ai plusieurs programmes qui se lancent, ce qu'ils ont fait !

Est-ce qu'il faut recommencer la procédure en les supprimant auparavant ?

Je continue

trempass · Answer

Résultat Gmer : http://www.cijoint.fr/cjlink.php?file=cj201005/cijRSpRU4u.txt

Dois-je redémarrer ?

sKe69 · Answer

bon 


redémarre ton PC ... puis dis moi ou en son tes prb ... du mieux ?



puis fait ceci :


1- Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 




2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\WINDOWS\system32\drivers
vax.sys

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\WINDOWS\system32\Drivers\PROCEXP113.SYS  

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

trempass · Answer

Bonjour à toi,

J'en étais là ...

Les pbs ont l'air d'avoir disparu : il faut voir un peu plus loin car je n'ai fait qu'une dizaine d'essai au hasard. Mais ça m'a l'air efficace.

Pour ce qui est de Virus Total voici le rapport concernant le "nvax.sys" : http://www.cijoint.fr/cjlink.php?file=cj201005/cijlTw2PyS.txt

Pour le second "Procexp113.sys", ce fichier n'apparaît pas dans la liste ! Que dois-je faire ?

Si le problème est résolu, j'aimerais bien que tu m'explique succinctement ce qu'il y avait, car j'ai fait tout ce que tu m'a dit, mais je n'ai pratiquement rien compris.

Dans tous les cas, un grand merci par avance.

Si le problème est résolu, j'aimerai que tu m'explique succinctement ce qu'il y avait

sKe69 · Answer

hello,


RAS du côté des ces fichier donc ...


l'ensemble de tes prb viennent d'extentions vérolées installer sur FireFox ainsi que la présence un log bidon type "rogue" ( Max Registry Cleaner  ).




Fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...
 

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- On va utiliser ton anti-virus AntiVir ainsi :


mets le à jour si besoin .


Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************


Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 

->  poste moi le rapport obtenu ... Aide toi bien du tuto ;)

trempass · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijgE91jBJ.txt

trempass · Answer

Voici le rapport de Avira :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijQLJmMyb.txt

sKe69 · Answer

Bien ....


on finalise ... dans l'ordre :



1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :


Version Console Java à jour > 6 Update 20
Version Internet Explorer à jour > v 8


* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".




* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jour ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/


 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405




=========================

2- Une fois tout ceci fait ,utilise Hijackthis ainsi ,

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

trempass · Answer

Rapport Hijackthis : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijJd0j98z.txt

Une question ?

Qu'entends-tu par : toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...)

Moi j'ai : Avira Antivir free et le pare feu Windows, non ?

sKe69 · Answer

re,

Moi j'ai : Avira Antivir free et le pare feu Windows, non ?

> tout à fait .... ^^
Se sont tes défenses ....



la suite :


1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 


O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe       
      


Tu cliques en bas sur le bouton FIX CHECKED et valides .



2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

> Poste aussi un dernier rapport Hijackthis de contrôle ...

Utilisateur anonyme · Answer

Hello vous 2 ,

Juste pour saluer sKe69 ;) 

Bonne suite à tous les deux .

trempass · Answer

Rapport Hijackthis 19h00 : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijPfWfu9h.txt

Une petite erreur ! j'ai oublié de débrancher avant !

Je redémarre,

trempass · Answer

Je n'ai plus de problème sur les liens cliqués.

Par contre un petit problème d'affichage : lorsque je déplace une fenêtre, il se créé une ombre qui la suit.

Ou plutôt  un empilement de fenêtres...

Est-ce réglable docteur ?


Avec toute ma sympathie,

sKe69 · Answer

bien suite et FIN dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Lances le . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ====================================== 2- Refais un coup de CCleaner ( registre compris ) . ====================================== 3- Fait ce check-up pour finir : A-Re-purge la restauration système *Désactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... *Réactive ta restauration : Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarre ton PC ... ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) C-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

trempass · Answer

Rapport Tcleaner :  

http://www.cijoint.fr/cjlink.php?file=cj201005/cijWMBXHY0.txt

trempass · Answer

Je pense que tout est réglé.

Un grand merci pour tout ce boulot.

Seul est intervenu ce petit problème d'affichage cité ci-avant : #39

sKe69 · Answer

bien ...


pour ton petit soucis d'affichage , surement un manque de "puissance" ( RAM ou process ) par rapport à tout ce qui tourne sur le PC ( cela arrive parfois sur mon vieil XP lorsque je lui en demande trop ^^ )



Content d'avoir pu te rendre service ... 



Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

============================================================= 

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )

Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/

( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )

En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389

->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

=================================================================
=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

=================================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

=================================================================


Voilà ...


bonne suite à toi et bon surf ... =)


A+

Windows security alert

32 réponses

Newsletters