Proposition astuce

Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 11 sept. 2008 à 17:10
kilian Messages postés 8731 Date d'inscription vendredi 19 septembre 2003 Statut Modérateur Dernière intervention 20 août 2016 - 12 sept. 2008 à 13:37
Salut à tous,

J'ai rédigé ma première astuce et je voudrais votre avis car je suis sûr qu'il y a des choses qui ne vont pas.

N'hésitez à la critiquer.

Téléchargeable ici :
https://www.mediafire.com/?sharekey=82736f917fd24eb3ab1eab3e9fa335caae823fd29fbd0491

Merci d'avance.

5 réponses

Utilisateur anonyme
11 sept. 2008 à 18:33
Salut,
Tu ne pense pas que ça aurait été beaucoup plus simple de copier-coller ça sur ton message ?
Ton astuce à l'aire pas mal du tout à première vue (je l'ai survolée rapidement), mais tu vas être déçu : Tout ça existe déjà dans notre FAQ.
Donc on ne vas pas l'ajouter.
Garde-la quand même, tu ne l'a pas fait pour rien.
;)
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 sept. 2008 à 18:35
Un petit récapitulatif sur les infections les plus courantes.



Important 1 : si vous avez Vista, vous devez désactiver l'UAC le temps de la désinfection :
https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

Important 2 : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO.

---> Démarrez Spybot, cliquez sur Mode, cochez Mode avancé
---> A gauche, cliquez sur Outils, puis sur Résident
---> Décochez la case devant Résident "TeaTimer" :
http://apu.mabul.org/up/5/apu-5-gpdx9e06cwz2dypom2q7n6nc.jpg
---> Quittez Spybot



W32.Beagle.KF / Trojan.Tooso.R / Bagle
--------------------------------------

Conséquences : Messages "application win32 non valide...", antivirus ne démarrant plus, connexion wifi endommagée, plus de mode sans échec,...

Fichiers infectés :
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\WINTEMS.EXE

:d) Utilisation d'Elibagla, ComboFix et faire un scan en ligne Kaspersky pour détecter les applications infectées.

1/

---> Téléchargez EliBaglA.exe sur votre Bureau :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

---> Cliquez en bas de la page sur le bouton Descargar Elibagla.
Enregistrez ce fichier sur le bureau.

---> Double-cliquez sur EliBaglA.exe pour l'ouvrir.

---> Assurez-vous que dans le menu déroulant Unidad qu'il y ait bien C:\
Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée.

---> Cliquez sur le bouton Explorar pour lancer l'analyse.

---> L'analyse finie, redémarrez. Le rapport se trouve ici C:\InfoSat.txt.

2/

ComboFix étant un programme très puissant, il peut être dangereux pour votre PC.

Il est nécessaire de créer un nouveau sujet sur le forum Virus/Sécurité en expliquant votre problème et un helper jugera s'il y a utilité ou non d'utiliser ComboFix.

3/

- Faîtes un scan en ligne ici (Avec Internet Explorer) :
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

- En bas à droite, cliquez sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche, cliquez sur J'accepte

- Acceptez les Contrôles ActiveX

- Choisissez Poste de travail pour le scan.

- Celui-ci terminé, sauvegardez le rapport sur votre Bureau (Choisissez fichier texte).

- Pour vous aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si vous recevez le message "La licence de Kaspersky On-line Scanner est périmée", allez dans Ajout/Suppression de programmes puis désinstallez On-Line Scanner, reconnectez-vous sur le site de Kaspersky pour retenter le scan en ligne.

- Lisez ceci en cas de problème d'installation du contrôle ActiveX :
http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm



Magic.Control / egdaccess / Adware.NaviPromo
--------------------------------------------

Conséquences : Popups Spyware Secure, WinAntivirusPro, Drive Cleaner, NaviSearch, System Doctor,...

Logiciels installant l'infection : Webmediaplayer, InternetGameBox, MailSkinner, Messenger Skinner, Live-Player, GoRecord, HotTVPlayer & Paris Hilton, Sudoplanet, go-astro,...

Lignes HijackThis montrant l'infection :
O4 - HKCU\..\Run: [jtvijfh] c:\documents and settings\cedric\local settings\application data\jtvijfh.exe jtvijfh
O4 - HKCU\..\Run: [eauiuge] c:\users\alexandra\appdata\local\eauiuge.exe eauiuge

:d) Utilisation Navilog1.

- Téléchargez Navilog1 (de IL-MAFIOSO) et enregistrez-le sur le Bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

- Double-cliquez sur Navilog1.exe afin de lancer l'installation

- Si le fix ne lance pas automatiquement après son installation, double-cliquez sur Navilog1 présent sur le Bureau

- Appuyez sur F ou f puis validez par Entrée

- Appuyez sur une touche de votre clavier à chaque fois que cela est demandé, vous arriverez au menu des options

- Choisissez l'option 1 et appuyez sur la touche Entrée pour valider votre choix

- Patientez jusqu'au message : *** Analyse terminée le ..... ***

- Le scan fini, le bloc-notes contenant le rapport sera affiché, enregistrez-le sur votre Bureau

- Si le résultat du scan ne s'affiche pas, vous le trouverez dans C:\fixnavi.txt

[*] Navilog1 est détecté par certains antivirus comme étant une infection, il suffit de désactiver l'antivirus temporairement. [*]

PS : Avant de passer l'option 2, demandez l'avis d'un spécialiste dans le forum Virus/Sécurité de CCM :
http://www.commentcamarche.net/forum/forum 7 virus securite



lop.com / Swizzor / Adware.Lop
------------------------------

Conséquences : Popups CiD (car le titre des popups comportent ce mot).

Logiciels installant l'infection : Sponsor de Messenger Plus!, BitDownload, Domplayer, Winzix, BitGrabber,...

Lignes HijackThis montrant l'infection :
O4 - HKLM\..\Run: [Compcakegramburn] C:\Documents and Settings\All Users\Application Data\tonsmailcompcake\Meet Inside.exe
O4 - HKCU\..\Run: [proxy ooze] C:\DOCUME~1\HP_PRO~1\APPLIC~1\plusmove\math byte poke.exe
O4 - HKLM\..\Run: [Ford mpeg road draw] C:\Documents and Settings\All Users\Application Data\way rdr ford mpeg\Face Remote.exe

:d) Utilisation de Lop S&D.

---> Téléchargez Lop S&D sur votre Bureau
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
---> Double-cliquez dessus pour lancer l'installation
---> Double-cliquez sur le raccourci Lop S&D présent sur le Bureau
---> Séléctionnez la langue souhaitée, puis choisissez l'option 1 (Recherche)
---> Patientez jusqu'à la fin du scan
---> Enregistrez le rapport généré (C:\lopR.txt) sur le Bureau

(Si le Bureau ne réapparait pas, pressez Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tapez explorer.exe et validez)

PS : Avant de passer l'option 2 (Nettoyage), demandez l'avis d'un spécialiste dans le forum Virus/Sécurité de CCM :
http://www.commentcamarche.net/forum/forum 7 virus securite



Infection Vundo/Virtumonde
--------------------------

Conséquences : Pubs intempestives.

Lignes HijackThis montrant l'infection
O4 - HKLM\..\Run: [BMdb113164] Rundll32.exe "C:\WINDOWS\System32\rjeupuxw.dll",s
O4 - HKLM\..\Run: [d82202f8] rundll32.exe "C:\WINDOWS\System32\vlwmlmap.dll",b

:d) Utilisation de ComboFix car VundoFix et VirtumundoBegone sont dépassés.

Pour ComboFix, voir plus haut.



Trojan-Downloader.Win32.FraudLoad / Antivirus XP 2008
-----------------------------------------------------

Lignes HijackThis montrant l'infection :
O4 - HKLM\..\Run: [lphcaj6j0ev3c] C:\WINDOWS\system32\lphcaj6j0ev3c.exe
O4 - HKLM\..\Run: [SMrhcej6j0ev3c] C:\Program Files\rhcej6j0ev3c\rhcej6j0ev3c.exe

:d) Utilisation de SDFix et de MalwareByte's Anti-Malware (MBAM) voire ComboFix.

1/

/!\ SDFix ne fonctionne pas sous Vista. /!\

* Téléchargez SDFix (par Andy Manchesta) et sauvegardez-le sur votre Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double-cliquez sur SDFix.exe et choisissez Install pour l'extraire dans son dossier sur le Bureau.
* Redémarrez le PC en mode sans échec :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
* Choisissez votre compte.

Déroulez la liste des instructions ci-dessous :
* Ouvrez le dossier SDFix qui vient d'être créé sur le Bureau et double-cliquez sur RunThis.bat pour lancer le script.
* Appuyez sur Y pour commencer le nettoyage.
* Quand il vous le demandera, appuyez sur une touche pour redémarrer le PC.
* Votre système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Appuyez sur une touche pour finir l'exécution du script et charger les icônes de votre Bureau.
* Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.

2/

- Téléchargez et installez MalwareByte's Anti-Malware :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

- Mettez-le à jour

- Redémarrez en mode sans échec (Recommandé) :
https://www.malekal.com/demarrer-windows-mode-sans-echec/

- Choisissez votre session habituelle

- Faîtes un scan complet avec MalwareByte's Anti-Malware

- Supprimez tout ce que le logiciel trouve, enregistrez le rapport sur votre Bureau

- Redémarrez en mode normal

Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

3/

Pour ComboFix, voir plus haut.



Barres d'outils (Toolbars) indésirables
---------------------------------------

Exemples : MyWebSearch, AskBar, SearchSettings, Crawler,...

Lignes HijackThis montrant l'infection :
02 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
04 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe

:d) Utilisation de Toolbar S&D.

---> Téléchargez Toolbar-S&D (Team IDN) sur votre Bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lancez l'installation du programme en exécutant le fichier téléchargé.
* Double-cliquez maintenant sur le raccourci de Toolbar-S&D.
* Sélectionnez la langue souhaitée en tapant la lettre de votre choix puis en validant avec la touche Entrée.
* Choisissez maintenant l'option 1 (Recherche). Patientez jusqu'à la fin de la recherche.
* Enregistrez le rapport généré (C:\TB.txt) sur votre Bureau.

PS : Avant de passer l'option 2 (Nettoyage), demandez l'avis d'un spécialiste dans le forum Virus/Sécurité de CCM :
http://www.commentcamarche.net/forum/forum 7 virus securite



Trojan.PWS.Onlinegames (amvo/tavo/kavo)
---------------------------------------

L'infection créé les lignes suivantes dans HijackThis :
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

C'est une infection qui se propage par disques amovibles.

Noms aléatoires à la racine d'un disque infecté, exemple :
C:\gqsk.bat
C:\n6j.com
C:\obc3wrq3.bat

:d) Utilisation RavAntivirus et de ComboFix.

1 /

- Téléchargez RavAntivirus d'Evosla sur votre Bureau :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

- Branchez vos disques amovibles à votre PC (clefs USB, disque dur externe, etc...) sans les ouvrir avant de lancer le fix

- Cliquez droit sur le fichier rav.zip, puis "Extraire Ici".

- Doucle-cliquez sur "rav.exe" pour lancer le fix.

- Laissez le programme agir : il scanne automatiquement tous les lecteurs (disques fixes et amovibles)

- En cas d'infections, un rapport sera généré : enregistrez-le sur votre Bureau

- Ensuite, retirez vos disques amovibles et redémarrez le PC.

2/

Pour ComboFix, voir plus haut.



Virus Alert!
------------

Conséquences : Message Virus Alert! à côté de l'horloge, disque C supprimé du poste de travail, accès impossible au registre, accès au gestionnaire de tâches impossible, etc...

---> Utilisation de SmitFraudFix

- Téléchargez SmitFraudFix (de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

- Enregistrez-le sur le bureau

- Double-cliquez sur SmitfraudFix.exe et choisissez l'option 1 puis Entrée

- Un rapport sera généré, enregistrez-le sur le Bureau

[*] SmitFraudFix est détecté par certains antivirus comme étant une infection, il suffit de désactiver l'antivirus temporairement. [*]

PS : Avant de passer l'option 2, demandez l'avis d'un spécialiste dans le forum Virus/Sécurité de CCM :
http://www.commentcamarche.net/forum/forum 7 virus securite



Virus MSN
---------

Conséquences : envoi de message automatique sur MSN à vos contacts contenant un lien,...

---> Utilsation de MSNFix voire SDFix

1/

- Téléchargez MSNFix.zip (de !aur3n7) sur le Bureau:
http://sosvirus.changelog.fr/MSNFix.zip

- Décompressez-le (clic droit >> Extraire ici).

- Double-cliquez sur le fichier MSNFix.bat.

- Exécutez l'option R.
Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note : Si une erreur de suppression est détectée, un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas, il suffit de redémarrer l'ordinateur.

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.t.

2/

Voir procédure SDFix.

/!\ Ne JAMAIS donner votre mot de passe MSN même pour des sites pour soi-disant savoir qui vous a bloqué /!\




En général
----------

Je vous conseille de faire un scan complet en mode sans échec avec MalwareByte's Anti-Malware quelque soit vos infections.
Un scan complet avec votre antivirus également.

McAfee, Norton, Avast ---> A éviter car ils sont les plus lents pour intégrer les nouvelles menaces.

Antivir et AVG8 sont les meilleurs antivirus gratuits actuellement.

Pour votre sécurité, ne téléchargez pas de cracks, keygens et faîtes attention où vous cliquez sur Internet.

Ne JAMAIS installer plusieurs antivirus et cela ne sert à rien d'installer 50000 logiciels de sécurité.

A la fin d'une désinfection, il faut désactiver puis réactiver la restauration système pour supprimer les points de restauration qui peuvent être infecté.

Un petit nettoyage ne fera pas de mal à votre PC :
http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection version fr

Je vous conseille très fortement de poster un sujet expliquant clairement votre problème ainsi que les rapports d'analyse sur le forum Virus/Sécurité de CCM :
http://www.commentcamarche.net/forum/forum 7 virus securite


Bon surf à tous !
0
meléopoldine Messages postés 1864 Date d'inscription jeudi 19 juin 2008 Statut Membre Dernière intervention 24 juin 2010 263
11 sept. 2008 à 18:37
Ca peut m'interesser jpense^^
0
Utilisateur anonyme
11 sept. 2008 à 21:28
Salut,

pour repondre a ton topic "une astuces" ^^

desole mais elle se trouve ici


@+
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 sept. 2008 à 21:31
Ah oui, je n'avais pas remarqué, désolé.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kilian Messages postés 8731 Date d'inscription vendredi 19 septembre 2003 Statut Modérateur Dernière intervention 20 août 2016 1 527
12 sept. 2008 à 13:37
Ca me semble être une astuce interessante. Notamment pour les newbie de la désinfection.

Mais malheureusement, concernant les méthodes de désinfection, il y en a pas mal qui sont déjà traitées dans la faq.
http://www.commentcamarche.net/faq/12 securite

S'il y en a certaines qui n'ont pas d'astuce alors ça vaudrait le coup d'en faire sur la base de ce que tu as fait
1