Trojan-gen, newbie et autres problèmes... - Virus/Spywares - Windows & Software
Marsh Posté le 01-12-2009 à 14:26:37
Bonjour,
Dis donc, tu en as accumulé des choses hein ^_^
Mais ne t'en fais pas, je vais t'aider.
D'après ce que tu dis, tu dois être infectée par Bagle. C'est une infection corriace, mais il ne doit pas y avoir que ça. Ta clé USB est certainement infectée elle aussi, donc évite de t'en servir pour le moment. On s'en occupera après.
Voilà ce qu'il te faut faire en premier lieu :
http://forum-aide-contre-virus.be/ [...] yKill.html
Marsh Posté le 01-12-2009 à 14:56:28
Merci beaucoup Adaron.
Mais ton lien ne fonctionne pas!
En cherchant des infos sur Bagel, j'ai retrouvé un lien pour télécharger FindyKill, mais idem, il ne fonctionne pas.
Edit : voici une page avec un lien qui me permet de télécharger FindyKill, le fichier se nomme "Setup.exe", penses-tu que je peux télécharger et installer ça sans crainte? J'ai lu qu'on installait nous-même Bagel, ce qui m'étonne, car je ne télécharge pas de programmes illégallement. Je télécharge uniquement des programmes sur télécharger.com. Bref.
La page en question : http://www.commentcamarche.net/faq [...] agle-bagle
Hier soir après avoir posté mon billet, mon copain m'a dit qu'il avait installé Ad-aware il y a quelques temps. Après mise à jour, je lance un scan qui a duré 6 minutes. En 6 minutes, 0 fichiers ont été analysés, et ce n'est pas une faute de frappe (ou de mon clavier). S j'ai bien compris, Bagel ne veut pas qu'on le supprime. Si j'ai bien compris. Mais quelle est son action? C'est lui qui m'empêche d'ouvrir mes disques?
PS : mon disque dur est partitionné, et il reste très peu de place sur C (200 mégas?). Je dois pouvoir libérer un giga en désintallant la mule. Je ne sais pas si je peux installer des programmes ailleurs, sur D?
PS 2 : me suis coupée le doigt, mais cette fois-ci, je ne me suis même pas évanouïe!
Marsh Posté le 01-12-2009 à 16:39:47
Ah oui, toutes mes excuses, c'est ma faute.
J'avais oublié que le lien avait changé encore. Et FindyKill a été renommé en Setup.exe pour éviter d'être reconnu et bloqué par Bagle.
Voici le bon lien (celui que tu as trouvé sur Comment ca marche était bon aussi) :
http://findykill.changelog.fr/Setup.exe
Ensuite, suis les instructions de mon précédent post.
Bagle bloque un grand nombre d'applications, dont les logiciels de sécurité et autres outils parmi les plus connus, ce qui le rend un peu difficile à enlever. Mais FindyKill devrait s'en charger... j'attends le rapport
Marsh Posté le 01-12-2009 à 17:12:37
Adaron, voici le rapport de FindyKill :
http://www.toofiles.com/fr/oip/doc [...] ykill.html
Marsh Posté le 01-12-2009 à 17:17:26
Ok
Maintenant fais ceci :
* Note : Si le Bureau ne réapparait pas, appuie sur Ctrl + Alt + Suppr et va dans l'onglet Processus. Clique ensuite sur "Fichier" -> "Nouvelle tâche" , tapes "explorer.exe" (sans les guillaumets) et valide.
Marsh Posté le 01-12-2009 à 18:28:19
Je peux ouvrir mes disques maintenant, je crois que c'est bon signe.
Merci Docteur!!! :-D
Par contre, quand je suis arrivée sur le bureau après fermeture de FindyKill, mon PC m'a dit 3 fois qu'il avait récupéré d'une erreur sérieuse.
Avast me dit toujours que j'ai trojan-gen, mais pour l'instant il ne me l'a dit qu'une fois (je l'ai mis en quarentaine). Avant, c'était toues les dix secondes.
Des autorun.inf ont été supprimés j'ai vu. Je crois qu'il y a le même fichier à la racine de ma clé. En fait ma clé m'a été donnée avec des programmes dessus, et je n'ai pas fait attention au nom des fichiers à sa racine, donc je ne sais pas si cet autorun est apparu ou non. Pour l'instant je n'ai pas rebranché ma clé sur mo PC, comme tu m'as dit.
Le rapport de FindyKill :
http://www.toofiles.com/fr/oip/doc [...] ykill.html
Marsh Posté le 01-12-2009 à 22:16:04
Adaron, je peux effacer le premier rapport de FindyKill? Me semble que ça soit pas permi de poster ça.
EDIT : ça y est, c'est remplacé par des liens.
Sauvés!
Et est-ce que je peux brancher ma clé? J'en ai besoin pour travailler, pas pratique pour ça les virus...
Merci :-)
Marsh Posté le 01-12-2009 à 22:50:04
voui, tu peux/dois éditer tes logs, sinon les modérateurs vont fermer ce sujet
utilise le bouton éditer :
Marsh Posté le 02-12-2009 à 09:25:48
Bonjour ^^
Et merci Zonka
Hum, on dirait une nouvelle variante de Bagle...
En tout cas tu as de la chance, Miss alysS. Bagle n'a pas eu le temps de corrompre tes logiciels de protection ou autres (dans quel cas il aurait fallu que tu les désinstalles pour les réinstaller après).
On va passer à la suite.
Fais ce scan généraliste particulièrement efficace avec Mawalrebytes :
• Télécharge et installe Malwarebytes' Anti-Malware
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Complet" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés (s'ils ne le sont pas déjà) puis clique sur Supprimer la sélection
• Enregistre le rapport qui s'affichera, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Ensuite, tu peux également télécharger le fameux RSIT qui est en fait un petit logiciel de diagnostic ^^
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître (log.txt et info.txt) : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, héberge-les comme tu l'as fait pour les rapports précédents, puis poste les liens correspondants dans ta prochaine réponse stp
Marsh Posté le 02-12-2009 à 14:51:42
Bonjour,
ça a été bien long, mais c'est fait!
J'ai installé malware, scanné, effacé les fichiers, effacé la quarentaine, et le log est ici :
http://www.toofiles.com/fr/oip/doc [...] 32-08.html
Le scan fut long, d'autant plus qu'avast l'interrompait souvent pour dire que de nombreux fichiers étaient infectés par trojan-gen...
Alors, que penses-tu de ce rapport?
Maintenant je vais télécharger RSTI, le lancer, il va y avoir un scan (de RSTI ou HiJackThis, pas trop compris, on verra) et je posterai les rapports. J'espère qu'il ne va pas y avoir de conflit avec mon avast activé.
EDIT : Je l'ai téléchargé, mais "RSTI n'est pas une application win 32 valide".........
A toutes et merci encore. Dis-moi dès que je peux utiliser ma clé. Sans elle je ne peux travailler et je dois préparer des choses plutôt urgentes!
Marsh Posté le 02-12-2009 à 15:10:52
Hum, le rapport de MBAM a dévoilé d'autres infections, plus petites, apparemment supprimées par ce dernier mais on y reviendra.
On va laisser RSIT pour le moment et s'occuper de la désinfection de ta clé Usb. En même temps, on va nettoyer toutes les infections de disques amovibles.
• Télécharge UsBFix et enregistre-le sur le Bureau
/!\ Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, lecteur MP3 etc...) susceptible d'avoir été infectés sans les ouvrir
• Double-clique sur le raccourci UsbFix présent sur ton Bureau
• Dès l'apparition du menu principal tape F (pour français) et valide en tapant sur Entrée.
• Au menu suivant, choisi directement l'option 2 ( Suppression )
• Ton bureau va disparaître et le pc va redémarrer (c'est normal).
• Au redémarrage, UsbFix va scanner automatiquement ton ordi, laisse travailler l'outil.
• Un rapport UsbFix.txt apparaîtra en même temps que le Bureau, sinon tu le trouveras dans C:\UsbFix.txt => poste le dans ta prochaine réponse s'il te plaît
• UsbFix te proposera également d'uploader un dossier compressé à cette adresse : http://forum-aide-contre-virus.be/ [...] ichier.php
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. L'envoyer à l'adresse indiquée aide l'auteur de UsbFix dans ses recherches afin de rendre l'outil meilleur.
Marsh Posté le 02-12-2009 à 15:14:53
Merci Adaron.
Quelle rapidité!
Cependant, le premier lien ne fonctionne pas!
Marsh Posté le 02-12-2009 à 15:33:23
Aie aie aie, et ça fait deux fois en plus... Faut vraiment que je me mette à jour moi ^_^
Toutes mes excuses encore une fois ^^
Voilà le bon lien pour UsbFix :
http://chiquitine.changelog.fr/UsbFix.exe
Marsh Posté le 02-12-2009 à 16:25:18
Oui, je pense que je peux t'excuser une fois de plus...
Voici le rapport :
http://www.toofiles.com/fr/oip/doc [...] sbfix.html
Puis-je utiliser ma clé maintenant?
Puis-je supprimer le fichier que j'ai uploadé pour Chiquitine? (ou le mettre quelque part)?
Marsh Posté le 02-12-2009 à 17:06:44
Ok !
Oui, UsbFix a correctement nettoyé la clé et l'a vaccinée, donc ça devrait aller
On va terminer avec trois outils supplémentaires qui, j'espère, seront aussi les derniers ^^
1) ComboFix
/!\ A l'attention de ceux qui lisent ce sujet /!\
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas)
• Double-clique sur le fichier exécutable présent sur le Bureau
• Lance le scan et laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
2) Cet outil (appelé Navolog1) va vérifier que MBAM a correctement supprimé l'infection Navipromo qui affiche de la pub intempestive :
• Télécharge Navilog1 sur ton Bureau.
• Lance Navilog en faisant un clic-droit sur le raccourci présent sur ton Bureau et en choisissant "Exécuter en tant qu'administrateur"
• Sélectionne une langue en tapant un chiffre parmi ceux proposés (1 pour français) et valide avec Entrée
• Appuie sur une touche jusqu'à ce que tu arrives au menu principal
• Là, fais le choix 1 (Recherche / Désinfection automatique)
• Si des éléments indésirables sont trouvés, navilog fera redémarrer l'ordinateur normalement. Patiente alors jusqu'au message «Scan terminé le...»
• A la fin, le rapport (C:\cleannavi.txt) va s'ouvrir dans le bloc-notes, poste-le dans ta prochaine réponse pour vérification stp
3) Et celui-ci effectuera un scan supplémentaire pour finir les restes des deux précédents :
Voilà, ça te fera trois nouveaux rapports en tout
Une fois que tu auras fini, réessaie de lancer RSIT et dis-moi s'il se lance correctement.
Marsh Posté le 02-12-2009 à 17:55:18
J'ai désactivé avastet le pare-feu windows. J'ai lancé combo fix, mais celui-ci me dit : "la 'cosole de récupération microsoft windows' n'estpas installée sur ce PC. Sans elle combo fix n'essaiera pas de corriger certaines infections graves. Cliquez sur Oui pour que Combofix la télécharge/l'installe.
Je dis Oui ou Non?
EDIT : j'ai lu le tuto... je dis OUI!
PS : ma page d'accueil a changé, de Google à Msn. Normal?
PS2 : j'ai téléchargé une mise à jour d'adobe reader. J'ai vu dans un rapport d'une trentaine de pages que tu demandais de lire à quelqu'un qu'il fallait mettreà jour ses Java, flash, adobe... etc. En même temps, comment savoir s'il ne s'agit pas de virus??
Marsh Posté le 02-12-2009 à 18:00:31
Re,
Oui, accepte l'installation de la console de récuparation de ComboFix.
Pour la page d'accueil, c'est normal, mais tu peux remettre Google.
Pour les mises à jour, et c'est un bon réflexe, tu ne risques pas de tomber sur un virus si tu fais les mises à jour directement depuis le logiciel (comme on peut le faire pour Adobe Reader) ou sur le site officiel du logiciel (c'est le cas de Java). Donc aucun risque de ce côté
Enfin, il me semble que c'était bien ça ta question? Sinon, n'hésite pas à me la reposer.
Marsh Posté le 02-12-2009 à 18:02:09
oui merci, j'ai posté avant de lire le tuto. J'ai édité mon message précédent pendant ta réponse...
Pour la mise à jour d'adobe, c'est une icône en bas à droite de mon écran qui me le propose. Idem pour Java.
Je ferme, je lance combofix!
Marsh Posté le 02-12-2009 à 18:11:09
Ok
Ah oui, je vois ce que tu veux dire. Généralement, quand il s'agit de Java ou d'Adobe Reader, il n'y a pas de problèmes.
Par contre il existe des infections qui peuvent émettre de fausses alertes, et ces dernières apparaissent aussi en bas à droite (dans la barre des tâches à côté de l'horloge). Les fausses alertes de ce genre sont en anglais pour la plupart, et une nouvelle icone apparaît dans la barre des tâches avec un message bulle qui te dit que des infections ont été trouvées, et que pour t'en débarasser, tu dois télécharger / acheter un soi disant logiciel de sécurité (qui est un faux, et une arnaque). On appelle ces faux logiciels de sécurité des Rogues
Je te dis à toute pour les résultats de ComboFix et des deux autres tools ^^
Marsh Posté le 02-12-2009 à 18:29:49
Oui rogue, j'ai vu ça dans le truc de 36 pages...
Le rapportde combofix:
http://www.toofiles.com/fr/oip/doc [...] bofix.html
je vais faire le reste
Marsh Posté le 02-12-2009 à 18:50:26
Le rapport de navilog :
http://www.toofiles.com/fr/oip/doc [...] nnavi.html
PS : il y a plusieurs nouveaux dossiers et fichiers à la racine de mon C, sont-ils inquiétants? (je ne cite que ceux que je ne connais pas ):
- dossiers ATI, autorun.inf, C_DILLA, Config.Msi, Qoobox, RECYCLER
- fichiers Boot.bak et cmldr
A la racine de mon D sont apparus les dossiers autorun.inf et MSOCache.
Je vais télécharger ad-remover.
Marsh Posté le 02-12-2009 à 19:15:02
le rapport de ad-remover (c'était un .log, j'en ai fait un .txt pour le poster sur toofile) :
http://www.toofiles.com/fr/oip/doc [...] mover.html
Alors, tes impressions? Me reste-t-il des infections? :-)
Marsh Posté le 03-12-2009 à 09:20:21
Salut ^^
A priori c'est ok
Je vais avoir besoin d'un rapport avec RSIT pour confirmer. Tu arrives à le lancer? Essaie et dis moi.
Et si tu n'y arrives pas, et seulement dans ce cas, essaie de télécharger HijackThis seul :
Autrement, comment se porte le PC actuellement?
Il y a toujours des alertes?
Concernant les dossiers sur C:\, la plupart ont été créés par les outils de désinfection, mais on verra ça à la fin.
Marsh Posté le 03-12-2009 à 11:42:33
Bonjour Adaron!
Toute la journée au boulot, je préviens juste que je ne pourrai répondre que ce soir. J'essaierai donc de lancer RSTI.
Par contre, j'ai du me servir de ma clé au collège. Dedans, un nouveau dossier avec un fichier Usbfix, j'imagine que c'est normal.
1) Du coup ce soir quand je rentrerai, si je veux brancher ma clé sur mon PC, je dois la passer sous USBfix au cas où?
Merci, merci, merci encore.....
En attendant, quelques autres questions :
2) J'ai découvert à la racine d'un de mes disques durs un dossier nommé "1d507d23cd86d23de01877118977" et qui contient deux dossiers : "amd64" et "i38" qui contiennent des ficers avec des .dll, .pdd ou .gpd. J'ai cru comprendre ailleurs qu'il s'agissait d'un dossier de mise à jour de windows. Je dois le laisser là où il est?
3) Je peux avoir Kaspersky gratuitement (car je suis prof). Quel anti-virus est le meilleur, parmi les gratuits et kaspersky? C'est subjectif mais bon, si je ne demande pas, je ne saurai jamais! Je peux déjà grâce à vous me faire une sélection de "ceux qui sont bons" et "ceux qui ne le sont pas". Apparement, j'ai vu qu'antivir ou AVG 9 étaient conseillés. Je n'ai pas entendu de Kaspersky. Et quel spyware avoir? En faut-il pour windows seven, que j'aurai bientôt?
4) C'est un malware qui fait que des pop-up de pubs s'ouvrent quand on est sur le net? Là au collège, une pub vient de s'ouvrir. Cela risque-t-il d'aller sur ma clé puis sur mon PC?
5) Peut-on attraper des malwares en téléchargeant des films sur emule? (je sais emule pas bien, pas légal... mais depuis que ça existe, on n'a jamais autant acheté de CD et DVD. Pas vierges!! On découvre et quand on aime, on achète. Mais ok, ça ne légalise pas emule..)
Allez j'arrête....
Marsh Posté le 03-12-2009 à 12:21:01
Bonjour
1) Oui, le dossier sur ta clé vient de la vaccination faite par UsbFix
Donc pas de risque d'une nouvelle propagation... C'est le but d'une vaccination. Tu peux utiliser ta clé normalement ^^
2) Quant à ce dossier --> 1d507d23cd86d23de01877118977 :
C'est un dossier Windows qui sert de backup (ou de sauvegarde) pour tes fichiers système. Si certains de ces fichiers sont manquants ou corrompus, ce répertoire peut servir à les restaurer, par exemple. Tu peux le laisser sur C
3) Pour ce qui est des antivirus, j'allais t'en parler à la fin de la désinfection, mais je vais le faire maintenant puisque tu me le demandes
En gratuit, Antivir et AVG9 sont de très bons antivirus... ils protègent mieux qu'Avast qui a régulièrement du retard au niveau de la mise à jour de ses labos. Kaspersky est également un très bon antivirus, et s'il n'est pas souvent mentionné c'est parce qu'il est payant, alors que la plupart des internautes cherchent une solution gratuite.
Je pense que tu peux passer à Kaspersky
Si tu souhaites un antispyware en plus, qui peut être toujours utile, il y a Spybot SD qui n'est pas mauvais et qui permet de faire des vaccinations.
En complément, garde aussi Malwarebytes antimalware et fais des scans avec régulièrement.
4) Oui, il existe des malware, ou plutôt des spywares, responsables de pop-ups ou autres. C'est possible que ce soit le cas sur le PC en question, mais encore une fois pas de risque à ce que ça se propage sur ta clé usb.
5) Oui, Emule ou le téléchargement via P2P en général présente un risque de tomber sur un fichier pourri ou autre, que ce soit un film, un mp3, un jeu etc. C'est moins dangereux que les cracks et keygens (piégés pour la grande partie), mais il faut quand même faire très attention... Pour le reste, tu as tout dit
Les téléchargements en torrent, bien que pas toujours conseillés, sont un peu moins risqués que ceux sur Emule.
En gros, prudence ^^
Pas de soucis pour RSIT, on regarde ça ce soir
Marsh Posté le 03-12-2009 à 20:31:11
RSIT n'est pas une application Win 32 valide...
Tout ce suspens pour ça!!
J'ai donc téléchargé HiJackThis, et l'ai renommé HJT comme le voulait le tutoriel.
J'ai laissé Avast tourner, j'espère que ce n'est pas un problème.
Voici le rapport :
http://www.toofiles.com/fr/oip/doc [...] rthjt.html
Sinon le PC se porte bien, je ne l'ai pas vu démarrer, mon copain me dit qu'il est un peu plus lent que d'habitude. (Hier il était lent déjà. Le PC, pas mon copain). Aucun message d'Avast pour me parler d'inombrables fichiers infectés par Trojan-gen ou autre. Dès qu'on en aura fini, je me mettrai à Antivir ou AVG 9. Kaspersky, ça sera pour mon nouveau PC (je ne sais pas si je peux l'avoir gratuitement plusieurs fois).
Ca n'a pas encore l'air fini tout ça! Désolée, mais je suis informatiquement maudite. Je pense dégager une aura électromagnétique nuisible. Je devrais être étudiée par la Science. Je devrais m'étudier moi-même tiens, je suis un peu scientifique quand même!
Bon courage à toi...
Marsh Posté le 04-12-2009 à 11:28:59
^^
Ok.
Oui, je pense aussi que c'est bien de remplacer Avast par Antivir ou AVG 9 (celui qui te convient le mieux). Et l'ordi sera certainement plus rapide si tu désinstalles Ad-Aware, qui est très peu utile, pas spécialement effiace et qui demande malgré tout beaucoup de ressources système.
AVG 9 a son propre Antispyware, donc si tu prends celui-là, tu n'auras normalement pas besoin d'en réinstaller un autre. Mais sinon, tu peux quand même toujours essayer Spybot en antispyware si tu le souhaites.
A part RSIT, est-ce qu'il y a d'autres applications (peu importe lesquelles) qui refusent de se lancer?
Je ne vois rien de plus dans ton rapport HijackThis...
Sinon, avant de finaliser ça, je pense que deux petites vérifications ne feront pas de mal. Supprime ton RSIT actuel et retélécharge-le -ici-
Puis essaie de le lancer dis-moi si ça marche mieux.
Et aussi, rends-toi à cette page :
http://www.confickerworkinggroup.o [...] chart.html
En haut de la page, tu devrais voir un tableau avec six images à l'intérieur. Dis-moi si elles s'affichent toutes correctement.
Marsh Posté le 04-12-2009 à 13:44:51
Ce soir je rentre tard, mais je sais quoi faire. Désinstaller Ad-aware et avast, installer AVG 9 (sur telecharger.com s'il y est), désinstaller RSIT et le re-télécharger et lancer...
Je vais tester d'autres applications... Mais pour l'instant je n'ai pas eu de problème. Et si je renomme RSTI.exe en "DTCbagel"? Ca serait pas une feinte comme pour HJT.exe?
Marrant comme test les images. En tout cas, je les vois au collège. On verra ce soir pour chez moi.
Bonne journée, et merci :-)
Marsh Posté le 04-12-2009 à 14:28:24
Citation : Et si je renomme RSTI.exe en "DTCbagel"? |
Justement, comme je ne vois plus de trace d'infection, ça me parait bizarre que RSIT refuse de se lancer, donc j'ai toujours un doute. Mais tu peux aussi essayer de le renommer si tu veux, dans le cas où le nouveau ne se lance pas non plus
Et n'oublie pas aussi d'aller sur le lien avec les six images ^^
Pour AVG 9, c'est peut-être mieux de le télécharger sur leur site officiel (une fois Avast désinstallé) :
http://free.avg.com/us-en/download?prd=afg#tba1
Tu peux le faire à partir de l'onglet "Recommended" (par défaut), ou via leur application de téléchargement d'AVG 9 que tu trouveras sur le même lien dans l'onglet "Installation Files" (c'est le premier élément dans la tableau, il suffit de télécharger l'application, puis de la lancer et elle télécharge et installe AVG 9 automatiquement).
Marsh Posté le 04-12-2009 à 21:22:10
Coucou,
Mon ancien RSIT ne voulait toujours pas se lancer, mais le nouveau, OUI, Alleluja! Mais quelle différence y a-t-il entre les deux...?
J'ai choisi "un mois" quand il m'a demandé.
Le log est ici :
http://www.toofiles.com/fr/oip/doc [...] grsit.html
et le fichier "info" est là :
http://www.toofiles.com/fr/oip/doc [...] orsit.html
J'avais internet explorer d'ouvert, ainsi que la mule (c'est pas moi, c'est mon copain, j'vous jure M'sieur), j'espère que ça n'interfère en rien avec RSIT.
Pour AVG 9, merci pour le lien, même pas besoin de chercher! Je ferai ça demain. La journée fut longue.
EDIT : non c'est fait, c'est installé. Avec toutes mes mésaventures, j'ai installé la toolbar d'AVG. Est-ce bien utile? Si non, comment la désinstaller?
Quand aux six images, je les vois!
Bonne soirée Docteur.
Tu soignes H1N1 aussi? (je suis sûre qu'on te l'a jamais faite celle-là...)
Marsh Posté le 07-12-2009 à 11:20:24
Salut
Le rapport RSIT semble ok, je ne vois plus rien de nuisible dedans.
Pour répondre à ta question, il n'y avait aucune différence entre les deux RSIT, tu as téléchargé le même fichier. Mais le premier a dû être corrompu au cours de la désinfection, je pense.
Citation : J'avais internet explorer d'ouvert, ainsi que la mule (c'est pas moi, c'est mon copain, j'vous jure M'sieur) |
Dis-lui de faire gaffe aux téléchargements, pour t'éviter de revenir avec d'autres infections
Ok pour AVG 9. Pour la barre de sécurité, je l'ai installée par erreur la première fois (suis allé trop vite -_-) mais je ne la trouve pas vraiment utile. Donc je me suis contenté de la désactiver.
Il te suffit de lancer Internet Explorer, pusi d'aller dans Outils -> Gérer les modules complémentaires -> Cliquer sur la barre et faire désactiver.
Si tu ne trouves pas, va dans Outils -> Options Internet -> l'Onglet Programmes -> Gérer les modules complémentaires
Pour le H1N1, non, je ne suis pas dans la médecine et non, on me l'avais jamais faite
Je vais quand même te donner quelques derniers conseils pour t'aider à éviter les infections et à mieux sécuriser ton ordi :
1) Les barres d'outils => Elles s'installent souvent en supplément avec un logiciel gratuit. En plus d'être inutiles, elles encombrent les navigateurs et les rendent instables ou ralentissent les PC... Certaines barres d'outils sont carrément néfastes et récoltent des informations personnelles pour les communiquer à d'autres personnes, ce qui pourrait conduire à une pub intempestive ciblée, par exemple. Le mieux est donc de les éviter, que ce soient des barres d'outils, des add-ons "gratuits", des moteurs de recherches etc.
2) Attention à ce que tu installes parmi les logiciels gratuits et à ce que tu télécharges également, pour ne pas attraper d'autres infections. Il faut notamment éviter tout ce qui est en rapport avec des cracks et des keygens, à eux seuls ils forment le principal vecteur d'infections.
Attention aussi à Emule, sachant qu'il existe des versions d'Emule modifiées (trafiquées), très semblables à l'original. Il vaut mieux le désinstaller et passer au torrent qui est plus sûr (et rapide..). Bit Lord, par exemple, télécharge en torrent.
3) Améliore ton rapport HijackThis pour alléger ton ordi et l'optimiser :
C:\Program Files\Trend Micro\HijackThis\Home.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
4) Pour le surf sur le net, FireFox est réputé comme étant un navigateur plus sûr qu'Internet Explorer...
Mais dans tous les cas, je te conseille fortement le module de sécurité WOT qui t'avertira des sites web dangereux.
- Tu peux l'avoir pour Fire Fox sur ce lien
- Ou sur celui-ci si tu veux le mettre sur Internet Explorer.
5) Logiciels de protection
- Antivirus : AVG 9 est un bon antivirus. Si tu n'as pas de problèmes avec, garde-le ^^
En complément, garde Malwarebytes' Anti-Malware qui est un très bon anti-malware généraliste, et fais des scans régulièrement avec (en le maintenant à jour). Ce n'est pas un logiciel de protection, mais de détection et de suppression.
Télécharge aussi ce petit logiciel qui t'aidera à nettoyer ton ordi et le registre en virrant tous les éléments inutilisables ou obsolètes :
(Tu peux garder ce logiciel et l'utiliser régulièrement).
6) Mets à jour ton ordinateur, ainsi que tous tes logiciels => chaque mise à jour effectuée est une faille de sécurité à exploiter en moins.
Ici Windows, Internet Explorer, Adobe Reader et Java (apparemment) ne sont pas à jour.
http://www.microsoft.com/france/wi [...] fault.aspx
http://www.java.com/fr/download/
7) Il faut maintenant Purger la restauration système pour supprimer d'éventuelles restes d'infections qui se réfugient parfois dedans pour revenir plus tard après nettoyage. Fais ça dans l'ordre :
Refais ensuite la manip en sens inverse pour réactiver la restauration système (décoche la case) -> Appliquer, puis Ok.
Pour finir, créé un point de restaution sain :
8) On va maintenant nettoyer ton ordi de tous les outils qui ont servi à sa désinfection
9) En dernier lieu, je t'invite à lire, (si ce n'est pas déjà fait ^^) ce dossier au format PDF sur la sécurité et la prévention qui t'en apprendra un peu plus sur les virus et t'aidera à les éviter. Environ 10min de lecture très instructive et utile.
Si tu as des questions, n'hésite pas
Marsh Posté le 13-12-2009 à 19:42:10
Bonjour!
Non je ne suis pas partie sans dire merci après une gentille et (je pense efficace) aide de ta part... Beaucoup de boulot, et en rentrant à 21h, voir que les scans et les anaylses prennent du temps... bon. Mais voilà le bilan de tout ce que tu m'as dit de faire et que j'ai étalé sur plusieurs jours :
- La toolbare d'AVG est désactivée.
1) Je n'installe normalement jamais d'autres programmes avec celui que je cherche à installer. Je refuse toujours. Pour barres à outils ou autres qui cherchent à s'ajouter au programme que je voulais. C'est juste cette fois... L'infection m'a fait peur, AVG me disait que sa toolbare était super... J'ai failli!
2) J'ai toujours ma mule, je m'en sers peu, comme d'hab. Je ne pense pas installer autre chose... car changer, c'est du boulot, et comme je télécharge trèèès peu... Je prends un petit risque, bon... ok pas bien... Mais je trie mes déchets, mange des légumes, n'achète aucun biscuit plein d'acides gras trans et saturés... On ne peut pas tout faire on va dire! Par contre, je ne télécharge aucun crack, keygen, et bientôt ma situation vis-à-vis de microsoft sera régularisée (quand j'aurai ma licence windows 7, et office gratuit et légal).
3) J'ai supprimé ce que tu m'as dit de supprimer avec HiJackThis.
4) Pour Firefox, euh on verra pour le prochain PC. Et encore, pour le prochain, ferai-je l'effort de changer?? J'étudierai la question avant de trancher.
5) Je garde AVG et vais le maintenir à jour. Ok, je ferai des scans régulièrement (autant de fois que je pense à arroser mes orchidées peut-être... Ca aime bien la sécheresse ces ptites plantes!!).
Ccleaner a été installé, et je m'en suis servie comme tu disais de faire. Il faut refaire tout ça régulièrement?
6) Je vais essayer de maintenir à jour Windows, java et adobe. Surtout sur mon prochain PC. Il faut le faire soi-même en allant sur le ssites? Ca ne peut pas se faire tout seul? (enfin me demander dès qu'une maj est disponible si je veux l'installer?)
7) J'ai purgé la restauration système, créé un point de restauration sain. Je ne sais pas trop ce que je dis, mais je l'ai fait.
8) Toolscleaner a fait un peu de boulot, ok je dois poursuivre et le supprimer lui-même.
Il a supprimé quelques trucs, mais il reste sur mon bureau :
- combofix (erreur de suppression)
- setup (le programme pour éradiquer Bagel, au cas où tu ne le saurais pas ^^
- toolsCleaner.
Je peux effacer tout ça?
Il a effacé HiJackThis?
9) J'avais en effet lu le dossier il y a quelques jours sur les malwares, tout ça... Interessant en effet. C'est ce genre de choses qui m'a fait installer la toolbare d'AVG!!
VOILA!
Merci pour tout... Ca me fascine un peu ces gens qui aident bénévolement toute la journée, tous les jours... Un grand, grand merci à toi. Il y a des jours on on se dit que la nature humaine (commerce, égoïsme, connerie...), c'est pas terrible. Et d'autres jours, certaines personnes nous montrent que tout n'est pas perdu! Si tu vois de qui je parle...
;-) Bonne continuation.
Pour ma part, nouveau PC (je dois aller traîner sur la rubrique "conseils d'achat"!) quand j'aurai le temps, AVG, malware bytes de temps en temps, ccleaner aussi. C'est ça doc?
Marsh Posté le 14-12-2009 à 10:13:56
Bonjour
Pas de soucis, j'ai moi-même un emploi du temps assez complet, donc pour les désinfections ici ça commence à faire juste mais je fais comme je peux, pour l'instant
1) Ok ! Ce n'est pas gênant de la laisser, mais perso je ne l'utilise pas et ça me faisait un élément supplémentaire sur mon navigateur donc je l'ai désactivée.
2)
Citation : et bientôt ma situation vis-à-vis de microsoft sera régularisée (quand j'aurai ma licence windows 7, et office gratuit et légal) |
Hum, tu veux dire que ta version de Windows est actuellement piratée? Ca fait un risque d'instabilité et de sécurité supplémentaire...
3) Ok !
4) J'utilise les deux pour ma part, Internet Explorer un peu plus que FireFox ^_^ Mais ce que j'ai dit à propos de FireFox est toujours vrai, après évidemment libre à toi de prendre ce que tu préfères.
5) Ok. Pour Ccleaner, tu peux le lancer par exemple une fois par mois... ou si jamais tu sens que ton Pc rencontre de petits problèmes. Tu peux aussi le faire après l'installation et surtout la désinstallation de programmes, pour nettoyer d'éventuelles restes de fichiers et traces dans le registre s'il y en a.
6) Pour Windows et Java c'est automatique et tu es avertie. Va dans Panneau de configuration -> Mises à jour automatiques, il faut que la première (Installation automatique) ou la deuxième option soient cochées. Par contre si tu utilises vraiment une version pirtatée de Windows, je ne te garantis rien...
Pour Adobe Reader il suffit de revoir mon 6) dans mon post précédant... c'est la même chose.
7) Ok.
8) Si tu ne vois plus HijackThis, et si le dossier C:\Program Files\trend micro est supprimé, c'est qu'il a été enlevé. Sinon supprime le dossier en gras toi-même directement. Et tu peux aussi supprimer les trois fichiers cités => ComboFix, Setup et ToolsCleaner.
9 ^^
Et pour le reste oui, n'hésite pas à garder MBAM à jour et à faire des scans avec au besoin. Les scans d'AVG peuvent être utiles aussi.
Sinon, merci
Et content d'avoir pu t'aider.
Bonne continuation à toi aussi
Marsh Posté le 17-12-2009 à 08:24:40
Coucou!
Au fait, Ccleaner me propose toujours si je veux sauvegarder ce qu'il a nettoyé. Comme j'ai peur que plus rien ne fonctionne, je sauvegarde. Est-ce vraiment la peine, ou puis-je effacer ce que j'ai gardé (et à l'avenir, dire à ccleaner d'effacer directement)?
Marsh Posté le 17-12-2009 à 11:18:59
Salut ^^
Je pense que tu peux supprimer les fichiers de backup au fur et à mesure
Personnellement, j'utilise Ccleaner depuis quelques mois et j'ai arrêté de créer des fichiers de sauvegarde depuis (avant de nettoyer le registre par exemple). Je n'ai jamais eu de problèmes avec ce petit logiciel et je n'en ai pas vu ailleurs non plus.
Mais ça peut être toujours rassurant d'avoir un petit fichier de sauvegarde, qu'on pourrait éventuellement supprimer par la suite si tout va bien
Marsh Posté le 13-01-2010 à 16:31:02
Bonjour Adaron!
Bonne année, et bonne santé tant informatique que physiologique.
Je reviens pour la suite de mes aventures d'infection de clé au collège.
Dès que je mets ma clé dans un certain PC du collège, je vois que 3 fichiers .exe apparaissent à la racine de ma clé. Je les supprime, mais bon, je reste sur mes gardes.
J'ai retéléchargé USBfix (que je pense garder!) afin de supprimer ce qu'il pourrait y avoir sur ma clé.
Des choses ont été supprimées, mais je ne sais pas si ça venait de ma clé??
Voici le rapport :
http://www.toofiles.com/fr/oip/doc [...] pport.html
Qu'en penses-tu? Est-ce que ma clé était infectée?
PS : Oui oui, j'ai uploadé le fichier qu'USBfix me demande d'envoyer.
Marsh Posté le 13-01-2010 à 18:15:55
Bonjour Miss Alyss,
Bonne année à toi aussi, et meilleurs voeux également
Citation : Dès que je mets ma clé dans un certain PC du collège, |
Tu veux dire que ça le fait sur un Pc en particulier, mais pas sur d'autres ?
Il est possible que le Pc en question soit infecté, et que ça vienne de lui dans ce cas... A voir.
Citation : je vois que 3 fichiers .exe apparaissent à la racine de ma clé. |
Tu as les noms de ces fichiers?
Tu aurais pu aussi les laisser sur la clé et passer directement par UsbFix.
UsbFix a trouvé quelques clés de registre infectueuses => des restes d'infections apparemment. Donc rien d'alarmant à priori.
Vois si les fichiers reviennent, et si oui, essaie de les noter pour reporter leurs noms ici
Marsh Posté le 28-01-2010 à 12:15:52
Coucou!
Ca y est, j'ai remis ma clé dans LE fameux PC qui infecte toujours ma clé. Car oui, ça se passe juste sur UN PC de la salle des profs. Pourtant ils doivent tous être en réseau.
Je viens de noter le nom des fichiers apparus, il y en a de plus en plus. Peut-être même encore un autre repéré par l'antivirus (Symantec) qui me dit qu'il a déplacé un fichier, mais je n'ai pas noté le nom (toujours des chiffres et lettres).
Les fichiers :
0fpdq2dw.exe
9xf8.exe
qkm.exe
sywyrl0q.exe
9fo3ar0j.exe
c2e.exe
kmj.exe
J'ai laissé UsbFix sur mon PC, je désinfecterai ma clé en rentrant. Je fais régulièrement un coup de ccleaner et malwarebytes anti-malware (rien à signaler).
Alors docteur?
Bonne journée! Je vais retrouver une classe dont deux élèves se sont battus sous mon nez, et j'ai du en ceinturer un... avec mon mètre 56. Même pas peur. Alors des petits malwares, ça me fait pas peur du tout!
EDIT : Je viens de décrire tout ça au responsable informatique du collège, il a lancé un scan par Symantec. Symentec dit qu'il a effacé deux fois les fichiers :
sywyrl0q.exe
kqm.exe
kmj.exe
c2e.exe
9fo3ar0j.exe
9xf8.exe
Ils ont en effet disparu de ma clé, il ne restait qu'un fichier que j'ai supprimé manuellement. Mais Usbfix tout de même en rentrant chez moi ce soir...
Marsh Posté le 01-02-2010 à 16:14:06
Salut ^^
Il y a certainement une infection qui se transmet par disque amovible sur le PC en question. Tu devrais leur recommander UsbFix (que j'utilise sur le parc informatique au boulot par exemple) et une désinfection propre et ordonnée du PC, pour être sûr qu'il n'y a plus rien.
Si la désinfection ne peut pas se faire pour X raisons, il reste le formatage + réinstallation complète du PC en question.
Tout ça pour éliminer les risques d'infection et de réinfection, vu qu'il s'agit de machines publiques. Ca va de soi.
Quoi qu'il en soit, maintenant tu as les bons réflexes, donc je ne suis pas inquiet te concernant
Mais si jamais d'autres soucis apparaissaient, n'hésite pas à revenir ^^
Marsh Posté le 30-11-2009 à 22:46:59
Bonjour à toutes et tous.
Informatiquement maudite, la veille d'acheter un PC tout beau tout neuf avec pleins de trucs légaux, je viens de me lancer plusieurs virus sur mon vieux PC grâce à ma clé généreusement fournie par le Conseil Général et qui a chopé tous les virus venan d'infecter le collège où je travaille. Là-bas aussi les virus restent, et même si le responsable informatque nous dit que tout a ét réparé, je retrouve des satanés .exe qui s'incrustent sur ma clé.
Sur mon PC donc, j'ai au moins Trojan-gen. Pas folle la guèpe, j'ai cherché seule en tant que newbie curieuse comment m'en débarasser. J'ai avast (à jour), je précise, et c'est lui qui me dit que j'ai plein de virus, vers et chevaux de Troie (il me le rapelle toutes les 15 secondes...). Supprimer le virus ou le mettre en quarentaine n'y fait rien.
J'ai pas mal de questions alors pour une question de lisibilité, je vais les numéroter.
1. J'ai souvent vu qu'il fallait désinstalle avast pour réinstaller Hijackthis, antivir ou autre. Mais si je désinstalle avast, mes virus ne vont-ils pas s'activer??
2. Sur ce forum, j'ai vu qu quelqu'un avait trojan-gen, et quelqu'un qui qui répondait "télécharge RSTI, ça te téléchargera Hijakthis au besoin". J'ai téléchargé le fichier. Impossible de l'éxécuter : ce n'est pas une application win 32 valide.. Alors que faire??
3. J'ai vu autre part des gens qui postaient les rapports de Hijackthis, mais après je n'ai pas compris ce qu'il fallait faire. "Supprimer des lignes"??? Apparemment ça marchait, mais je n'ai pas compris. En fait, je n'ai pas trouvé où la personne-aide disait comment faire. Hijackthis, une solution pour moi?
4. Depuis que j'ai ce problème de virus (au pluriel), je n'arrive pas à ouvrir mes disques durs et clés, sur mon PC comme au collège. Windows me demande avec quelle application je dois ouvrir ça (genre Word, paint...). Lien? Pas lien? J'ai supprimé quelquechose? Puis-je retrouver mon PC comme avant? Pour gérer ça, je dois ouvrir mes disques par la barre d'adresse. Ensuite pour les dossiers dedans ça s'ouvre normalement.
5. J'ai découvert à la racine d'un de mes disques dus un dossier nommé "1d507d23cd86d23de01877118977" et qui contient deux dossiers : "amd64" et "i38" qui contiennent des ficers avec des .dll, .pdd ou .gpd. Savez-vous d'où cela peut venir? Puis-je le supprimer? J'ai supprimé des programmes par manque de place. Ainsi j'ai perdu le son sur mon PC. Maintenant j'ai peur de faire une nouvelle gaffe plus fatale que celle-là.
6. Je peux avoir Kaspersky gratuitement (car je suis prof). Quel anti-virus est le meilleur, parmi les gratuits et kaspersky? C'est subjectif mais bon, si je ne demande pas, je ne saurai jamais! Je peux déjà grâce à vous me faire une sélection de "ceux qui sont bons" et "ceux qui ne le sont pas".
Merci de m'aider... Surtout pour les virus. Je travaille sur mon PC, je suis obligée de me servir de ma clé entre mon PC et les PC de mon collège, mon boulot me stresse, j'ai grossi alors si j'arrive à éliminer le problème "virus" ça sera déjà une étape!!
PS : mon clavier est mort aussi, pardon si j'ai oublié quelques coquilles.
MERCI