Sujet Précédent Sujet Suivant

Ver sasser

Résolu
matthieub Messages postés 97 Statut Membre -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,
il me semble étre infecter par le ver sasser.
Symptome: redémarage de l'ordi dans 1 min, impossible de accéder au gestionnaire des taches, impossible de instaler le sp3 et le sp2 de windows xp avec un msg d'erreur ftp.exe est utilisé un truc du genre, impossible de accéder au gestionnaire de périférique...
j'ai télécherger un kit de désinfection fx sasser mais il ne me trouve rien
http://www.secuser.com/alertes/2004/sasser.htm
merci de m'aider svp se serais gentil
A voir également:

28 réponses

Précédent
  • 1
  • 2
Réponse 21 / 28
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).

1) Sécurise ton ordinateur

- Pare-feu :
Si AVG n'intègre pas de pare-feu, tu n'as donc que le pare-feu Windows : il te protègera contre les infections basiques comme celle que tu as eu (elle date d'il y a plusieurs années...) : pour une meilleure protection contre les infections actuelles, télécharges-en un vrai. En gratuit, le plus simple est PC Tools :
- Tutoriel PcTools

- Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant, et Spybot pour ses vaccinations à faire régulièrement (après chaque mise à jour)

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Il est plus sécurisé qu'Internet Explorer, et il respecte ta vie privée, contraire à Google Chrome qui collecte des données sur ton comportement en ligne...
Tu peux trouver des explications ici pour l'installation de l'extension.

- Internet Explorer n'est pas à jour, c'est une faille de sécurité (même si tu ne l'utilises pas)
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : IE 7

2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"

3) Menu démarrer → exécuter → tape combofix /u (l'espace est important) et valide.
Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

4) Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).

5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.

6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet

7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide

Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0
Réponse 22 / 28
matthieub Messages postés 97 Statut Membre 2
 
merci bien de ton aide. pour pctools, j'ai désinstaler avg car il me semble que c'est pas bon de avoir de antivirus!
0
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
En effet il ne faut pas avoir deux antivirus, mais PC Tools n'est pas un antivirus ! C'est seulement un pare-feu (il faut avoir un antivirus et un pare-feu)

0
Réponse 23 / 28
matthieub Messages postés 97 Statut Membre 2
 
a mince donc je peux remètre avg?
0
Réponse 24 / 28
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Oui, il faut que tu le remettes (ou un autre antivirus s'il ne te convient pas) ;)

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 28
matthieub Messages postés 97 Statut Membre 2
 
mais en faite pour pc tools j'ai installais le mauvais il me semble!
https://fr.norton.com/
c'est sa que j'ai installé
0
Réponse 26 / 28
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
Arf... Tu as installé l'antivirus et donc... tu n'as toujours pas de pare-feu...

Re-télécharge hijackthis stp, je vais t'aider à mettre tout ça

0
Réponse 27 / 28
matthieub Messages postés 97 Statut Membre 2
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:47:06, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\PC Tools AntiVirus\PCTAV.exe
C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\gerard\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\gerard\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} -
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
0
Réponse 28 / 28
anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
 
# Redémarre en mode sans échec

- Clique sur Démarrer, puis sur Arrêter
- Sélectionne Redémarrer et clique sur OK
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows n'apparaisse, tapote plusieurs fois sur la touche F8 (F5 sur certains ordinateurs).
- A l'affichage du menu des options avancées de Windows, déplace toi avec les flèches du clavier et sélectionne "Mode sans échec"
- Patiente lors du démarrage qui peut prendre du temps, puis choisis (si nécessaire) ta session habituelle.

Une fois en mode sans échec, ne t'inquiète pas si les couleurs et la taille des icônes changent, c'est normal

# Désinstalle PC Tools Antivirus

- Clique sur Menu démarrer, puis va dans Panneau de configuration, puis Ajout/suppression de programmes
- Sélectionne PCTools Antivirus et clique ensuite sur Désinstaller, puis laisse toi guider.
- A la fin de la désinstallation, fais redémarrer ton ordinateur (en mode normal).

# Supprime les fichiers temporaires avec CCleaner

- Si ce n'est pas déjà fait, télécharge CCleaner ici : https://www.ccleaner.com/ccleaner/download ... ading-slim
- Exécute le fichier ccsetup_slim.exe pour lancer l'installation, puis laisse toi guider.
- Une fois l'installation terminée, lance CCleaner
- Va dans la section "Options" situé dans la marge gauche et clique sur "Avancé"
- Décoche "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48h"
- Retourne ensuite dans la section "Nettoyeur"
- Vérifie que toutes ces cases sont cochées dans la marge gauche : Internet Explorer / Windows Explorer / Système.
- Clique sur Analyse
- Une fois le scan terminé, clique sur Lancer le Nettoyage

# Nettoie la base de registre avec RegCleaner

- Télécharge RegCleaner à cette adresse : http://www.01net.com/windows/Utilitaire ... /4894.html
- Exécute le fichier RegCleaner.exe pour lancer l'installation et laisse toi guider.
- Une fois l'installation terminée, lance RegCleaner
- Au premier démarrage, tu dois valider la licence d'utilisation, pour cela, cliquez sur le bouton "I accept the disclaimer abov"
- Mets ensuite le logiciel en français en cliquant sur Option → Langue → choisir la langue
- Paramètre ensuite Regcleaner en manuel : Option → Nettoyage du registre → Méthode → Manuelle
- Vérifie que la sauvegarde automatique est bien paramétrée : Outils → nettoyage du registre → Sauvegardes → Coche « créer une sauvegarde globale ».
- On passe au nettoyage : clique sur "Outils" puis "Nettoyage du registre" et "Tout faire"
- Si les clés trouvées te semblent correctes à la fin du scan, clique sur "Sélection" puis sur "Tous" pour tout sélectionner
- Clique enfin sur le bouton "Supprimer sélection" pour lancer le nettoyage

# Réinstallations

AVG antivirus :
http://www.avgfrance.com/product-avg-anti-virus-free-edition

PC Tools Firewall :
https://fr.norton.com/

Pense aussi à mettre Internet Explorer à jour, tu ne l'as pas fait mais c'est important (voir plus haut)

Ensuite, relance une dernière fois hijackthis, et fixe cette ligne :
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

Puis gérère un nouveau rapport et poste le ici stp
0

Discussions similaires

RAM maximale sur carte mère MS-7613
JohannNachbar -
JohannNachbar -

12 réponses
Branchement carte mère
c7e3d -
c7e3d -

6 réponses
Dessin animé qui passait sur France 3
Poppins -
eg -

6 réponses
Problème de mise à niveau de RAM avec carte mère MS-7613.
GF123Info -
FRED72 -

3 réponses
ver num
85mamie -
85mamie -

2 réponses