infection TR/Dropper.gen suite a un rogue Résolu

Question

bonjour a vous, je suis tom j'ai besoin de votre sagesse.....

Je suis infetcté par des virus le dernier fichier en date a se foutre de moi c'est lui TR/Dropper.gen...

j'ai eu une infection de type rogue "Microsoft secutity essentials alert help", bloquant le net et tout les prog, je m'en suis débarasser avec regrun réanimator en mode sans échec apres plusieurs éssais, (malware byte n'a pas marcher)

cependant j'ai toujours des fichiers contaminer le dernier en date étant TR/Dropper.gen....


je suis sous windows xp, avrira en antivir, et zonealarm en firewall.


voicis le rapport du diag ZPH

http://www.cijoint.fr/cjlink.php?file=c ... COXN9i.pdf


rapport OTL :

http://www.cijoint.fr/cjlink.php?file=c ... e1p0d8.pdf

http://www.cijoint.fr/cjlink.php?file=c ... iLab4C.pdf



je vous remercie bcp de votre aide .........

(chez nous quand on aime bien les gens on fait le bissou........)

sKe69 · Answer

hello, 


recolle les liens des rapports car là, ils sont brisés ... 


:p 



PS : pourquoi ils sont en format pdf ? ... avec le bloc note ( en .txt ) ça ne fonctionne pas ? 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

tomtom69000 · Answer

OK je m'en occupe, il sont en PDF parce que avec CIJOINT, je n'arrive pas a les éberger en format txt, bizare....

voici les liens:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijIe1p0d8.pdf

http://www.cijoint.fr/cjlink.php?file=cj201010/cijxiLab4C.pdf

ty

sKe69 · Answer

re,



ce type de format ne m'arrange pas du tout ...



faut reprendre :


1- relance un scan ZHPdiag de cette fçon  :

!! déconnecte toi et ferme toutes tes applications en cours !!  


> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) . 

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... 
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.  

Ferme le programme ...  



2- Pour me faire parvenir ce rapport,


* Zippe le si tu peux . 
Sinon renomme ZHPDiag.txt et ZHPdiag.xls


* ensuite uplaod moi sur Cijoint soit le .zip , soit le rapport en .xls ...

Ced_King · Answer

Salut à vous,

Ske, je me permet d'intervenir car Tomtom s'était "incrusté" dans un topic qui n'était pas le sien et c'est moi qui lui ai dis de poster un nouveau message sur V/S...

Tout ça pour te dire que Tomtom a déjà passé Mbam et a posté le rapport là

Comme y'a du "TDSS", je préférais te prévenir ;-))

@ ++

tomtom69000 · Answer

salut ske69, merci a toi de m'aider....

j'ai lancer un scan zhp comme tu me l'a demander, par contre impossilble de le faire passer sur cijoint meme en xls word ou zip rien n'y fait donc je vais le poster la....

Par contre pendant le scan j'ai eu un message demandant l'acceptation d'une license très douteuse au contenu très leger, que je n'ai pas accepté bien sur....voicis sa photo :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijtqbbvJw.jpg

ensuite j'ai quasiment tout le temps le debogage juste a temps qui me demande de deboger ?????
Voici également sa description :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijYAPG0QU.jpg

donne moi ton adresse mail s'il te plait que je puisse te transmettre le rapport zhp, je n'y arrive pas ni en zip ni en xls ni en word, désoler 

attend si je vais le faire depuis un autre ordi.....

a toute

tomtom69000 · Answer

j'ai copier le rapport sur une clef usb, est ce qu'il y est un risque que j'infecte l'ordinateur sur lequel je veux utiliser cijoint pour avoir le format txt ???

tomtom69000 · Answer

voila le rapport en format txt:

 http://www.cijoint.fr/cjlink.php?file=cj201010/cijlwP0Nkt.txt


ty..... ;=)

sKe69 · Answer

hello, 


du taf' en perspective ...  

infection TDL3, infection via support amovible , etc ... 


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection . 
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre . 
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer . 
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ). 



Commence par ceci dans l'ordre : 



1- Au niveau de ces 2 navigateurs , fait les vérifes et modifes suivantes si besoin : 


*ouvre Firefox ( si tu l'as bien sûr) ,  
- clique sur le menu "outil" / choisis "option".  
- dans cette fenêtre, Clique sur l'onglet "avancé" 
- dans cette autre fenêtre , choisis le sous menu " réseau " 
- au niveau de l'necadré "conexion" , clique sur "paramètre".  
> là tu coches "pas de Proxy" puis clique sur "OK"  


*ouvre Internet Explorer,  
- clique sur le menu Outils / choisis "Options Internet".  
- va sur l'onglet "Connexions" puis clique en bas sur "paramètres réseaux" 
> désactiver le proxy si besoin et valide la modif .  


========================== 



2- Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>   
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643 
O2 - BHO: (no name) - {C7AB41B4-05CF-4003-9B6E-799B945E95BA} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\dlo6b.dll          
O20 - Winlogon Notify: krambst . (.Pas de propriétaire - Pas de description.) -- krambst.dll   
O44 - LFC:[MD5.FFB92A4B713B4589FAD267A15C8E65D2] - 02/10/2010 - 18:14:22 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Program   [2033]   
O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 26/09/2010 - 02:32:30 RSHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\winstart.bat   [2]        
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}        
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe   
O83 - Search Svchost Services: jogwknvr (jogwknvr) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\dlo6B.dll   [0] 




Puis Lance ZHPFix depuis le raccourci du bureau . 


* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  


============================ 


3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 
*  Ferme tes applications en cours ( ainsi que ton navigateur ) . 
*  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .   
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après ! 
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ... 
*  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
*  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ). 
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 

Ensuite : 
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil . 
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ... 


-- Pour  XP, l' installation de la Console de Récupération sera demandé : 
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ). 
image > http://img.bleepingcomputer.com/combofix/fr/recovery-console-prompt-fr.png 
*Une fois la console installée, 
image > http://img.bleepingcomputer.com/combofix/fr/recovery-console-installed-fr.png 
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes :  
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi . 
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire . 
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes. 
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )  


=> une fois terminé, un rapport apparait ( ce rapport est sauvegardé également ici : C:\Combofix.txt  ). 


Poste le contenu de ce rapport pour analyse ... 


Réactive bien tes défenses . 







"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

tomtom69000 · Answer

salut ske69, sa va ? il fait beau ce week end ....

je te remerci de m'aider voici le rapport de ZHPfix:

Rapport de ZHPFix 1.12.3203 par Nicolas Coolman, Update du 28/09/2010
Fichier d'export Registre : 
Run by Thomas at 03/10/2010 18:32:12
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {C7AB41B4-05CF-4003-9B6E-799B945E95BA} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\dlo6b.dll  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7AB41B4-05CF-4003-9B6E-799B945E95BA}]  => Clé supprimée avec succès
[HKCR\CLSID\{C7AB41B4-05CF-4003-9B6E-799B945E95BA}]  => Clé supprimée avec succès
O20 - Winlogon Notify: krambst . (.Pas de propriétaire - Pas de description.) -- krambst.dll  => Clé supprimée avec succès
O83 - Search Svchost Services: jogwknvr (jogwknvr) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\dlo6B.dll   [0]  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>  => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643  => Donnée supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}  => Donnée remplacée avec succès

========== Fichier(s) ==========
c:\windows\system32\dlo6b.dll ()   => Fichier absent
krambst.dll ()   => Fichier absent
c:\program ()   => Fichier absent
c:\windows\winstart.bat  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
5 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
4 : Fichier(s)


End of the scan



je passe a l'étape 3, a de suite:

tomtom69000 · Answer

bon ske69, j'ai lancer combofix sans avoir fermer le navigateur ni les protection le pc a pas trop aimer , je recommence donc la manip depuis le téléchargement sur le bureau de combo.

tomtom69000 · Answer

voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijddekb4a.txt

sKe69 · Answer

bon,


comme il y a eu deux passages de l'outil , bah on ne voit pas ce qu'il a shooté/réparé au début ...



fait ceci maintenant :


1- Créer un doc texte sur ton bureau: 
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" . 

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
c:\windows\system32\dlo6B.tmp  
c:\documents and settings\All Users\SPL4C.tmp  

Driver:: 
jogwknvr 

NetSvc::
jogwknvr 

DDS::
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080  
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FF  

DirLook:: 
c:\documents and settings\Thomas\Application Data\4D5B5FA3671B59A901EDE73BF4CBAA03

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]  
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]  


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
 

2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !!

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer Combofix .

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !).

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

tomtom69000 · Answer

Bonsoir, j'ai lancer combofix en suivant tes consignes 

Il a suprimer des fichiers puis a redemarrer l'ordi 


cepandant au redemarage les icone ne se son pas afficher ni le menu demarrer, il n'y a que la fenetre de WGA notifications 
Depuis plus de 20 minutes il est figeé il dit  merci de patienter. 

que faire ske69...??

tomtom69000 · Answer

T'es la Ske69 ?? 

Je fais comment pour arreter combofix ?

tomtom69000 · Answer

bon j'ai arreté combofix,
le pc a finit de redemarrer normalement
pas de trace de rapport

je constate qu'avira et zonealarm se sont réactiver au démarage.....

J'attends tes conignes.....::(

merci Ske de m'aider c super sympas bonne nuit

sKe69 · Answer

bon,


je vois que la patience n'est pas ton fort ! ...


donc une fois de plus , on est aveugle et sans rapport ! ...


c'était long car j'ai demandé à l'outil de montrer ce qui se trouvait dans un dossier particulier ( et il devait avoir pas mal de chose , c'est pour cela que c'était long ... des fois il faux laisser tourner Combo plus de 4 heures ! ... )


-_-

pas grave ...



dans l'ordre :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


--> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! Déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 
 
====================

2- tu vas relancer une fois de plus Combofix , mais en scan normal ( sans script ) ...


poste le new rapport obtenu ...


( désactive bien AntiVir avant de le lancer )

tomtom69000 · Answer

tout c'est bien passé.....

voila le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijlvJLfvH.txt

J'attends tes ordres chef !!!

sKe69 · Answer

bien ...



l'outil semble bien avoir fait son job ... 


pour voir ou on en est maintenant , relance un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

tomtom69000 · Answer

Au debut du scan il y a un message demandant l'acceptation d'une license très douteuse au contenu très leger, j'ai rien fait 
Regarde : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijtqbbvJw.jpg  

C"est quoi ?? 

ça appartient au soft ? 

il me semble que j'avait fermer la fenetre et que le scan avait continué, lors de sa première utilisation il y a deux jours, il est sur la ligne 64 depuis 20 min 
( manque de patience encore j'imagine...) 

j'ai fermer cette fenetre, rebelote, je l'ai fermer une deuxieme fois, 


le  scan à repris

tomtom69000 · Answer

Et à finit :

http://www.cijoint.fr/cjlink.php?file=cj201010/cij9MOPTpk.txt

sKe69 · Answer

re,


recommecne et accepte la licence ! ... no problemo, c'est pour le fonctionnement de l'outil ... ;)



poste le nouveau rapport obtenu stp ...

tomtom69000 · Answer

ok au demarrage le pc affiche deux messages d'erreurs look :

http://www.cijoint.fr/cjlink.php?file=cj201010/cij01LWijH.jpg

je relance le scan...

tomtom69000 · Answer

Au rapport chef !!!!!

http://www.cijoint.fr/cjlink.php?file=cj201010/cijk5H4dy8.txt

sKe69 · Answer

hello,



on continue ... reste quelques mer*es ...



dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O44 - LFC:[MD5.FFB92A4B713B4589FAD267A15C8E65D2] - 05/10/2010 - 22:02:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Program   [2033]
O44 - LFC:[MD5.FFB92A4B713B4589FAD267A15C8E65D2] - 02/10/2010 - 18:14:22 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Program1   [2033]


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


===============================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Double-clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'installation .

* Puis double-clique sur le raccourci pour lancer l'outil.  
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

tomtom69000 · Answer

voici pour ZHPFix :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijEtJ7VYG.txt

tomtom69000 · Answer

Et voici pour Ad-remover :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijfpkxTOM.txt


Alors docteur on en est ou ?

sKe69 · Answer

bien ...



on avance , on avance ... ^^



dans l'ordre :



1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) ! 
 

*  Lance Ad-Remover depuis le raccourci du bureau.
 
*  Clique cette fois sur [Nettoyer]  .

*  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !... 


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


=============================

2- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

tomtom69000 · Answer

voila les deux rapports dans l'ordre, AD-remover et ZPHdiag : 


http://www.cijoint.fr/cjlink.php?file=cj201010/cijVRJ31Rn.txt 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijvslSeCe.txt 

      ;)

tomtom69000 · Answer

salut, au démarrage du pc nouveau message d' erreur : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cij4Muz97r.jpg 

.....

sKe69 · Answer

hello, 


pas normal que cette daube ré-apparaisse ... :( 


on va shooter ce truc autrement ... 



1- Créer un doc texte sur ton bureau:  
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .  

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :  


KillAll:: 

File::  
C:\program 


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :  
CFScript puis valide ... ( sauvegarde le bien sur le bureau ) 
  


2- Nettoyage : 

!! Ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .  

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif ) 

Cette manipulation va relancer Combofix . 
Ce dernier va te demander une mise à jour : accepte ! ( pour cela , il faut que tu sois connecté à ce moment là ) . 

> Une fois la maj faite, lance le bien le nettoyage . 

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !). 

! Ne touches à rien tant que le scan n'est pas terminé ! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ... 


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

tomtom69000 · Answer

Voila chef le rapport  de Combofix :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijEWhCDVe.txt

sKe69 · Answer

yop,


c'est lié à Intel apparement > https://www.processlibrary.com/fr/search?q=eouwiz



dis moi si cette fenêtre revient ...


> redémarre l'ordi donc, puis refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

tomtom69000 · Answer

Voili, voila... :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijQmqcutX.txt

le merci beaucoup...

sKe69 · Answer

très bien ....



fait ce qui suit dans l'ordre ( si le dernier rapprot est clean , on pourrafinaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! le temps de la manipe : désactive ton antivirus et ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...
 


======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================


3- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

4- on va utiliser ton antivirus AntiVir ainsi ,


mets le à jour si besoin .


Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " : 

* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé  .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir. 
* toujours dans "recherche" -> " Autres réglages ", coche les cases suivantes : 
>secteur d'amorçage lecteurs de rech. 
>Contrôler secteurs d'amorçage maître 
>Suivre les liens symboliques 
>Rech.Rootkit au dém. de la recherche 
et décoche : 
ignorer les fichiers hors ligne 

* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus= coché, et en dessous coche activer AHeADet coche la case degré d'identification moyen ...


---> clique sur "OK" pour valider le réglage ...
****************************************


Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 


=> poste moi le rapport obtenu ... Aide toi bien du tuto ;)

tomtom69000 · Answer

bon il y a au lancement du netoyage un message d'erreur me demandant de redémarrer se que j'ai fais: 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijCKmbRcy.jpg 

au demarrage le pc a de nouveau afficher le message d'erreur : 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijawfOA3I.jpg

tomtom69000 · Answer

ske je fais quoi ??

sKe69 · Answer

hello,


de retour ...


bah oui , continue la manipe bien sûr ...

tomtom69000 · Answer

Ok manipe terminer, résultat scan Avira =0, voici le rapport ;

http://www.cijoint.fr/cjlink.php?file=cj201010/cije3NZJFL.txt


:)

Dit moi tout boss .....

tomtom69000 · Answer

He par contre j'ai toujours le message d'erreur au demarrage ???? :


http://www.cijoint.fr/cjlink.php?file=cj201010/cijawfOA3I.jpg

:(


(je trouve que mozila est long a l'ouverture peut etre a cause de zone alarm...)

sKe69 · Answer

re,



il casse les c**illes ce fichier ! ....



j'aimerais savoir combien de fichier "program*" trainent à la racine du disque ...



fait ceci :


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
ou ici https://www.ionos.fr/?affiliate_id=77097


* lance l'outil
* Clique sur le bouton "Listing" et laisse travailler ...


> copie colle moi le rapport obtenu stp ....

tomtom69000 · Answer

Voila le rapport chef :)

http://www.cijoint.fr/cjlink.php?file=cj201010/cijMy2ouPz.txt

sKe69 · Answer

bon ...



fait ceci :



1- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:Files
C:\Program
C:\Program1

:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


==========================

2- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

tomtom69000 · Answer

Voici pour OTM :


All processes killed
========== FILES ==========
C:\Program moved successfully.
File/Folder C:\Program1 not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
 
User: Administrateur.FURANET
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 1185 bytes
 
User: Thomas
->Temp folder emptied: 98700 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 43446125 bytes
->Google Chrome cache emptied: 4788592 bytes
->Flash cache emptied: 1530537 bytes
 
User: utilisateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
->Flash cache emptied: 1623 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 256 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 48,00 mb
 
 
OTM by OldTimer - Version 3.1.16.1 log created on 10142010_230130

Files moved on Reboot...
C:\Documents and Settings\Thomas\Local Settings\Temp\~DFEADD.tmp moved successfully.
File C:\WINDOWS	emp\ZLT0285f.TMP not found!

Registry entries deleted on Reboot...

tomtom69000 · Answer

Et voici ZPH-diag :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijbPqzJd0.txt

sKe69 · Answer

hello,


on finalise .... dans l'ordre :


1- Mets à jour ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :

Version Console Java à jour > 6 Update 22
Version Internet Explorer à jour > v 8

* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions 
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration ( affichage classique ) > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".



* Internet Explorer :
Même si tu utilises un autre Navigateur , il faut tenir IE à jour ! ( sinon faille de sécurité ) .
->Télécharge le ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/


 ! Ferme toutes applications en cours ( navigateurs compris ), désactive toutes tes défenses ( antivirus , pare feu , guarde anti-spyware ...), et en restant connecté !

> puis lance l'installe de IE8 et laisse toi guider ...( regarde bien le du tuto ci-dessous )

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405



=============================


2- une fois ceci fait, relance un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

tomtom69000 · Answer

Salut, bon pour le réglage de la maj de Java j'ai un problème ; 
Dans le panneau de configuration, quand je clic sur l'onglet un message d'erreur apparait puis rien d'autre ne se passe :



  http://www.cijoint.fr/cjlink.php?file=cj201010/cijIvqQArs.jpg

je continue.....

tomtom69000 · Answer

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijvJ4kKWY.txt


ty a lot....

sKe69 · Answer

re,


toujours le message "C:/programe" au démarrage 


?????? ..... GRRRRR !!!!! ....


comment à casser les c****lles celui là ... pourquoi il ne vire pas chez toi ? ...



on va essayer autrement :


1- Créer un doc texte sur ton bureau : 
* pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" . 

* Rends toi sur cette page > http://www.cijoint.fr/cj201010/cijxqVnoOb.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
Remove puis valide ... ( sauvegarde le bien sur le bureau ) 



2- Télécharge The Avenger (de Swandog46) : 
> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !! 

Dézippe le contenu de l'archive ( extraire tout ) sur ton Bureau. 

* Double clique sur l'exécutable pour lancer l'outil.
* Clique sur l'icône en forme de dossier à gauche ( "Load Script from File" ) 
* Sélectionne ton fichier Remove.txt se trouvant sur le Bureau. 
* Coche les deux cases en bas ( "scan for rootkit" et "automatically disable..." ) 
* Puis clique sur [execute] pour lancer le nettoyage . 

Touche à rien et laisse faire . 

Le programme va te demander de redémarrer ton pc, accepte. 

-> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et attends la suite ... 


==============================

3- Redemmare de nouveau l'ordi .

==============================

4- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

tomtom69000 · Answer

Voila pour avenger :


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Program" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

tomtom69000 · Answer

Ok donc plus de message "C:/programe", au démarrage, ça c'est cool !!!

Voila le rapport pour ZPHDiag ;

http://www.cijoint.fr/cjlink.php?file=cj201010/cijNL37FeB.txt

:)

sKe69 · Answer

re,


Ok donc plus de message "C:/programe", au démarrage, ça c'est cool !!! 


j'espère bien cette fois ! .... ^^'

ce qu'on va faire , utilise le PC encore aujourd'hui et demain ...

tient moi au courant si cette m**de est revenu ou non ...

si le message ré-apparait , refait moi un new ZHPDiag ...



on avisera ensuite en fonction de l'état de l'ordi ...

tomtom69000 · Answer

Fausse joie .........:(

Retour du message  C/:programe ..........

Pas cool 

Ordi très très lent au démarrage....

j'ai relancé zphdiag......


http://www.cijoint.fr/cjlink.php?file=cj201010/cijhKBVWMO.txt

sKe69 · Answer

et bien ... 



on va re-analyser ce fichier sur virustotal ... 



1- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\Program

* Clique sur Send File ( = " Envoyer le fichier " ).

( /!\ Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )  

* Un rapport va s'élaborer ligne à ligne. 

* Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.  

* Copie/colle le contenu de ce rapport dans ta prochaine réponse pour analyse ...  

Petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses 



================================ 

2- Télécharge SystemLook de jpshortstuff sur ton bureau :

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe


* Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :


:filefind 
explorer.exe 
wininit.exe 
winlogon.exe


* Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. 

-> Poste ce rapport dans ta prochaine réponse pour analyse ...


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

tomtom69000 · Answer

Voila le scan virus total :

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name:
Program
Submission date:
2010-10-22 13:46:13 (UTC)
Current status:
queued (#1) queued (#1) analysing finished
Result:
0/ 40 (0.0%)
	
VT Community

not reviewed
 Safety score: - 
Compact
Print results
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2010.10.22.01	2010.10.22	-
AntiVir	7.10.13.17	2010.10.22	-
Antiy-AVL	2.0.3.7	2010.10.22	-
Authentium	5.2.0.5	2010.10.22	-
Avast	4.8.1351.0	2010.10.22	-
Avast5	5.0.594.0	2010.10.22	-
BitDefender	7.2	2010.10.22	-
CAT-QuickHeal	11.00	2010.10.22	-
ClamAV	0.96.2.0-git	2010.10.22	-
Comodo	6477	2010.10.22	-
Emsisoft	5.0.0.50	2010.10.22	-
eSafe	7.0.17.0	2010.10.21	-
eTrust-Vet	36.1.7926	2010.10.22	-
F-Prot	4.6.2.117	2010.10.22	-
F-Secure	9.0.16160.0	2010.10.22	-
Fortinet	4.2.249.0	2010.10.22	-
GData	21	2010.10.22	-
Ikarus	T3.1.1.90.0	2010.10.22	-
Jiangmin	13.0.900	2010.10.22	-
K7AntiVirus	9.66.2805	2010.10.21	-
Kaspersky	7.0.0.125	2010.10.22	-
McAfee	5.400.0.1158	2010.10.22	-
McAfee-GW-Edition	2010.1C	2010.10.22	-
Microsoft	1.6301	2010.10.22	-
NOD32	5554	2010.10.22	-
nProtect	2010-10-22.01	2010.10.22	-
Panda	10.0.2.7	2010.10.22	-
PCTools	7.0.3.5	2010.10.22	-
Prevx	3.0	2010.10.22	-
Rising	22.70.03.04	2010.10.22	-
Sophos	4.58.0	2010.10.22	-
Sunbelt	7117	2010.10.22	-
SUPERAntiSpyware	4.40.0.1006	2010.10.22	-
Symantec	20101.2.0.161	2010.10.22	-
TheHacker	6.7.0.1.064	2010.10.21	-
TrendMicro	9.120.0.1004	2010.10.22	-
TrendMicro-HouseCall	9.120.0.1004	2010.10.22	-
VBA32	3.12.14.1	2010.10.22	-
ViRobot	2010.9.25.4060	2010.10.22	-
VirusBuster	12.69.12.1	2010.10.22	-


Additional information
Show all
MD5   : ffb92a4b713b4589fad267a15c8e65d2
SHA1  : 8a49455459883640922630981a53a7b99ee134d9
SHA256: ba4ea6f087587fe7e5a08012f32abf1a853518199b7519beb798fb3d7643433c
ssdeep: 48:W434fkuHhgUFX0FGErl7D/VDd61VmW7vH/imOl5:tfE3FEFZZ/VDknmW7iV
File size : 2033 bytes
First seen: 2010-09-27 20:22:28
Last seen : 2010-10-22 13:46:13
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

tomtom69000 · Answer

et voila le rapport de Systèmelook :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijILwYEIa.txt

sKe69 · Answer

re,


RAS de ce côté ....



j'aimerai écarter une hypothèse .... dans l'ordre :



1- désinstalle proprement ZHPDiag en utilisant son utilitaire de désinstalle qui est ici :

C:\Program files\ZHPDiag\Unins000.exe 



Puis supprime le dossier C:\Program files\ZHPDiag


============================

2- supprime manuellement ce fichier > C:\Program 


============================

3- refait un coup de CCleaner ( registre compris )


============================

4- redémarre l'ordi ....



=> test le et redémarre le plusieur fois jusqu' à demain ... si ce satané fichier 'Program' ré-apparait d'ici là , fait moi le savoir ....

tomtom69000 · Answer

bon plus de nouvelle de de fichier "programme"....


;) cool ....

sKe69 · Answer

hello, 


donc possible que cela soit dû à la version ZHPDiag qui a eu des soucis d'installe .... ^^" 




On va donc reprendre histoire de, avec la toute dernière version , 



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :  

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


!! déconnecte toi et ferme toutes tes applications en cours !!   


> Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" .    

> A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .  

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .  
( celui avec le tournevis )  

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .  

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days  

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .  


Laisses travailler l'outil ...  
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! ) 


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.   

Ferme le programme ...   



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/  

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .   
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...   
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....   





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

tomtom69000 · Answer

Ok, toujours pas de nouvelle de "C:programme"

Voila le rapport ZPH :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijYpllhCg.txt

sKe69 · Answer

impec ....



la suite donc :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe       
O43 - CFD:Common File Directory ----D- C:\Program Files\Alwil Software  
O43 - CFD:Common File Directory ----D- C:\Program Files\AVG
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4              
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  
O64 - Services: CurCS - (.not file.) - aswMon2 (aswMon2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2   
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR    
O64 - Services: CurCS - (.not file.) - aswSP (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP      
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI
O64 - Services: CurCS - (.not file.) - avast! Antivirus (avast! Antivirus)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVAST!_ANTIVIRUS    
O64 - Services: CurCS - (.not file.) - AVG7 Wrap Driver (Avg7RsW)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVG7RSW
O64 - Services: CurCS - (.not file.) - AVG Free8 Network Redirector (AvgTdiX)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGTDIX
O64 - Services: CurCS - (.not file.) - SASDIFSV (SASDIFSV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SASDIFSV  
O64 - Services: CurCS - (.not file.) - SASKUTIL (SASKUTIL)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SASKUTIL
O64 - Services: CurCS - (.not file.) - Spyware Terminator Driver 2 (sp_rsdrv2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SP_RSDRV2    
O64 - Services: CurCS - (.not file.) - Spyware Terminator Realtime Shield Service (sp_rssrv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SP_RSSRV
[HKCU\Software\McAfee]                  
[HKCU\Software\ALWIL Software]  
[HKLM\Software\ALWIL Software]  
CTFDisabled 


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !... 


=========================

2- Redémarre l'ordi .
( important pour que certaines modifs faites avec hijakthis soient prises en compte ) 


Puis teste ton PC ainsi que ta navigation sur internet ... Si tout est Ok pour toi , on peut passer à la dernière étape ....

-> Poste aussi un dernier rapport ZHPDiag de contrôle ...

tomtom69000 · Answer

ok donc tout va bien sur le pc ......

Ok pour la manip avec ZPH FIX...

Voici le rapport :

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010
Fichier d'export Registre : 
Run by Thomas at 27/10/2010 17:35:48
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - avast! Asynchronous Virus Monitor (Aavmker4)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AAVMKER4  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswMon2 (aswMon2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMON2  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswSP (aswSP)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Antivirus (avast! Antivirus)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVAST!_ANTIVIRUS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVG7 Wrap Driver (Avg7RsW)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVG7RSW  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVG Free8 Network Redirector (AvgTdiX)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AVGTDIX  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SASDIFSV (SASDIFSV)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SASDIFSV  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SASKUTIL (SASKUTIL)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SASKUTIL  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Spyware Terminator Driver 2 (sp_rsdrv2)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SP_RSDRV2  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Spyware Terminator Realtime Shield Service (sp_rssrv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SP_RSSRV  => Clé supprimée avec succès
HKCU\Software\McAfee  => Clé supprimée avec succès
HKCU\Software\ALWIL Software  => Clé supprimée avec succès
HKLM\Software\ALWIL Software  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès

========== Elément(s) de donnée du Registre ==========
CTFDisabled  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Alwil Software  => Supprimé et mis en quarantaine
C:\Program Files\AVG  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
16 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)


End of the scan

tomtom69000 · Answer

ok tout roule, voici le rapport ZPHDiag ;

http://www.cijoint.fr/cjlink.php?file=cj201010/cij3UlUKky.txt

sKe69 · Answer

yop, suite et FIN dans l'ordre : 1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnecte toi et ferme bien toutes tes applications en cours . Lances le . *Clique sur Recherche et laisse le scan se terminer (cela peut être long). *Clique sur Suppression pour finaliser. *Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : --> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( garde CCleaner et Malwarebytes : très utiles ! ) ====================================== 2- Refais un coup de CCleaner ( registre compris ) . = ===================================== 3- Fait ce check-up pour finir : Attention : ne pas toucher au PC pendant qu'il travaille ! A-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général" Clique sur le bouton "nettoyage de disque", OK . tu le fais pour chacun de tes disques ... *Vérifications des erreurs : Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ... ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK . Tu le fais pour chacun de tes disques ... Note : si tu as un utilitaire pour défragmenter , utilise le à la place ... ( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas ) B-Créer un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

tomtom69000 · Answer

Salut !!! de retour....

voila le rapport de toolcleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\avenger: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Documents and Settings\Thomas\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\Thomas\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\ZHPdiag.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\diag\ZHPdiag.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\diag\Combofix.txt: trouvé !
C:\Documents and Settings\Thomas\Bureau\diag\UsbFix.txt: trouvé !
C:\Documents and Settings\Thomas\Bureau\diag\Rsit.exe: trouvé !
C:\Documents and Settings\Thomas\Bureau\Nouveau dossier (3)\Combofix.txt: trouvé !
C:\Documents and Settings\Thomas\Mes documents\Téléchargements\ComboFix.exe: trouvé !
C:\Documents and Settings\Thomas\Mes documents\Téléchargements\UsbFix.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Thomas\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\Thomas\Bureau\avenger.exe: supprimé !
C:\Documents and Settings\Thomas\Bureau\ZHPdiag.exe: supprimé !
C:\Documents and Settings\Thomas\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Thomas\Bureau\diag\ZHPdiag.exe: supprimé !
C:\Documents and Settings\Thomas\Mes documents\Téléchargements\ComboFix.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Thomas\Bureau\diag\Combofix.txt: supprimé !
C:\Documents and Settings\Thomas\Bureau\diag\UsbFix.txt: supprimé !
C:\Documents and Settings\Thomas\Bureau\diag\Rsit.exe: supprimé !
C:\Documents and Settings\Thomas\Bureau\Nouveau dossier (3)\Combofix.txt: supprimé !
C:\Documents and Settings\Thomas\Mes documents\Téléchargements\UsbFix.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\UsbFix\UsbFix.exe: supprimé !
C:\avenger: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\ZHPDiag: supprimé !

sKe69 · Answer

vu,


fait la suite et dis moi une fois tout terminé comment va l'ordi .... ;)

tomtom69000 · Answer

ok ben l'ord va bien, il est un peut lent au démarrage mais je pense que c'est a cause de AVIRA, une fois qu'il à fait ses maj, il roule bien, même très bien ........

sKe69 · Answer

hello,


content d'avoir pu te rendre service ... ^^



Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

==================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

==================================================

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
==================================================

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

==================================================

=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

==================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

==================================================


voilà ...


bonne suite à toi .... =)


A+

tomtom69000 · Answer

Merci ske, c'est super cool de ta parts, si tu veux venir boire une bière ou un caf chez moi tu es le bien venu, je suis du coté de saint genis laval, pierre benite.......

C'est cool de partager sont savoir ;)

Infection TR/Dropper.gen suite a un rogue

68 réponses

Votre réponse

Discussions similaires

Newsletters