DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 23 Nov 2024 à 3:06 FAQ | Rechercher | Membres | Groupes

[Résolu] Pc infecté (Bagle)


Aller à la page Précédente  1, 2, 3, 4 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 23 Fév 2008 à 19:35    Sujet du message: Répondre en citant

Citation:


Log supprimé

En effet l'amas de fichiers infectés n'apparaît plus Shock
Comment ça se fait? Comment ont-ils été éradiqués?.


En tout cas je ne saurais vous remercier pour l'aide que vous m'apportez Bad Grin Smile 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 23 Fév 2008 à 19:44    Sujet du message: Répondre en citant

Bonjour archange, tu reviens de loin

Merci Geronimo pour le coup de main

Antivir dans sa première exécution a mis en quarantaine ou supprimé les fichiers infectés. On va finir le nettoyage du PC:



- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double clique sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 23 Fév 2008 à 20:00    Sujet du message: Répondre en citant

Voilà Embarassed

Citation:
Log supprimé
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Geronimo
Equipe de sécurité


Inscrit le: 27 Avr 2006
Messages: 297
Localisation: Dans mon tepee

MessagePosté le: 23 Fév 2008 à 20:10    Sujet du message: Répondre en citant

archange a écrit:
En effet l'amas de fichiers infectés n'apparaît plus
Comment ça se fait? Comment ont-ils été éradiqués?.


- Il suffit de consulter ma réponse du 23 Fév 2008 à 8:00

- Ceci dit mon rôle dans ton problème est terminé je laisse la main à zaede. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 23 Fév 2008 à 20:11    Sujet du message: Répondre en citant

Re,




Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable



Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser


Important Désactive TeaTimer le résident de Spybot, il pourrait gêner la désinfection


- Démarre Spybot clique sur Mode coche Mode avancé
- A gauche clique sur Outils ==> Résident

- Décoche la case devant Résident "TeaTimer" http://apu.mabul.org/up/5/apu-5-gpd[...]ypom2q7n6nc.jpg
- Quitte Spybot



1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet



2/ Télécharge et installe

- Télécharge OTMoveIt (de Old_Timer) http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe enregistre ce fichier sur le bureau


- AVG Anti-Spyware 7.5
http://www.ewido.net/en/download/

Démarre AVG Anti-Spyware

- Clique sur Mise à jour.

La mise à jour faite, clique sur:

- Analyse

- Paramètres

Sous Comment réagir?

- Choisir Quarantaine

Sous Rapports, cocher:

- Générer un rapport après chaque analyse

- Uniquement en cas de menaces"

- Quitte AVG Anti-Spyware

**Si tu as un message "impossible de se connecter au service update", continue la procédure sans la mise à jour


- Si tu as des difficultés pour le configurer consulte ce tutorial :
http://www.malekal.com/tutorial_AVG_AntiSpyware.html#mozTocId92038


- CCleaner - Standard Build
http://www.sosordi.net/Telechargement/logiciel-147-ccleaner-standard-build
A son installation décoche la case devant Ajouter la Barre d'Outils Yahoo! CCleaner




3/ Redémarre en mode sans échec

Citation:

-Au redémarrage de ton PC tapote sur la touche F8 ou F5
-Sur l'écran suivant déplace toi avec les flèches de direction
-Choisis Mode sans échec.
-Choisis ta session et non la session Administrateur




4/Lance HijackThis

- Clique sur Do a scan system only et coche la case devant les lignes suivantes:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\perso\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)



Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked



5/

- Double-clique sur OTMoveIt.exe

- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et colle-le dans le cadre bleu de OTMoveIt

nommé Paste Standart List of Files/Folders to moved

Citation:
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\ALCXMNTR.EXE


- Clique sur MoveIt! pour lancer la suppression.

- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit

- Vide la corbeille

- Poste le rapport qui se trouve dans C:\_OTMoveIt\MovedFiles





6/Démarre CCleaner


- Dans Nettoyeur :

- Onglet Windows ne coche pas la case Avancé

- Onglet Applications laisse toutes les cases cochées

- Clique sur le bouton Analyse puis celle-ci fini sur Lancer le nettoyage







7/ Démarre AVG Anti-Spyware


- Clique sur Analyse

- Choisis Analyse complète du système

Le scan terminé:

- Clique sur Appliquer toutes les actions.

- Clique sur Enregistrer le rapport et Enregistrer le rapport sous

- Enregistre ce rapport sur le Bureau.



8/ Redémarre en Mode Normal et poste:


Le rapport d’AVG AntiSpyware
Un nouveau rapport HijackThis
Le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 24 Fév 2008 à 19:29    Sujet du message: Répondre en citant

Désolée pour le retard je n'étais pas chez moi.

Je n'ai pas pu enregistrer le rapport AVG le bouton pour était bloqué (écrit en gris).

Sinon j'ai les rapports Hijackthis:
Citation:
Log supprimé


et OTMoveIt:
Citation:
C:\WINDOWS\ALCXMNTR.EXE moved successfully.
File/Folder C:\WINDOWS\system32\ALCXMNTR.EXE not found.

OTMoveIt2 v1.0.20 log created on 02242008_120511
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 25 Fév 2008 à 0:50    Sujet du message: Répondre en citant

Bonjour archange, bonne nouvelle le PC est propre

Je viens de relire toute la procédure
Les infections trouvées par Antivir étaient contenues dans la restauration du système et dans la quarantaine de combofix (C:\QooBox) et non pas par Antivir comme je le disais précédemment


Supprime:

DiagHelp.zip
EliBagla
c:\infosat
DSS
C:\Deckard
C:\_OTMoveIt
catchme.exe
Avenger
c:\avenger.exe

Vide la corbeille

Tu as encore des soucis? 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
archange



Inscrit le: 19 Juin 2006
Messages: 40

MessagePosté le: 25 Fév 2008 à 9:51    Sujet du message: Répondre en citant

Apparemment tout se passe bien!
Je suis désolée d'avoir du prendre de votre temps comme ça. Sad
En tous cas merci, merci beaucoup! Very Happy

Ah oui une dernière question:
Mes fichiers de restauration du système ne seront plus infecté désormais?
De plus le resident Spybot me dit:
Spybot S&D a écrit:
Spybot Search & Destroy a décelé qu'un élément important du Registre a été modifié.
Catégorie: System Startup global entry
Modif: valeur supprimé(e)
Element: Alcxmonitor
Ancienne valeur: ALCXMNTR.EXE
J'ai le choix entre Autoriser la Modif - Refuser la Modif.


D'après les informations que donne spybot, c'est un élément qui était avec un driver:
Spybot S&D a écrit:
Nom de fichier actuel:

Etat base de données: Nécessaire selon les préférences de l'utilisateur
Valeur: AlcxMonitor
Nom de fichier: Alcxmntr.exe

Description
Installed with hardware drivers for a Realtek AC97 audio device. It's believed that Realtek uses this file in order to gather data about the customer. Some users report problems with their on-board sound if this is disabled - hence the "U" recommendation

Source: Paul Collins Startup list
  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 26 Fév 2008 à 0:49    Sujet du message: Répondre en citant

Bonjour archange,

accepte la modification du registre




Garde:

- AVG AS, la mise à jour automatique et la protection résidente s’arrêteront au bout des trente jours d’essai, mais une mise à jour manuelle est possible. Un scan tous les dix jours en mode sans échec aidera ton PC à rester en forme
- Ccleaner, l’utilisation après le scan AVG AS en mode sans échec nettoiera ton PC de tous les fichiers inutiles.


Et maintenant je te fais le traditionnel discours de prévention et de sécurité.

- Windows Update parfaitement à jour http://www.windowsupdate.com/ (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware
- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml


Programmes à ne pas installer car vecteurs d'infections navipromo:
Go-astro
GoRecord
HotTVPlayer
InternetGameBox
MailSkinner
MessengerSkinner
SudoPlanet
Web MediaPlayer



1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :


Navigateurs

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de Megataupe :
- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/
- Tutorial http://www.libellules.ch/phpBB2/tuto-guide-firefox-2-0-presentation-explications-t21020.html#127873
- Je te le recommande vivement !

=> Opera
- Téléchargement : http://www.opera.com/download/
- Tutorial par Pitcat : http://speedweb1.ovh.org/forum-tesgaz/viewtopic.php?t=464&highlight=&sid=55b9d470dbd4bd520ae5af52b512dbab

Si tu veux toujours utiliser IE ! :

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)
Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)
- Téléchargement : http://www.spywarewarrior.com/uiuc/resource.htm


Sécurisation des ports

=> ZebProtect (pour sécuriser les ports de ton PC, très simple) :
- Téléchargement : http://telechargement.zebulon.fr/123.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/zebprotect.php

=> Si tu veux tester ton firewall :
- scanner les ports du PC : http://www.pcflank.com/


Sécurisation de la navigation

=> SpywareBlaster :
- Téléchargement : http://www.javacoolsoftware.com/downloads.html
- Tutorial : http://www.ordi-netfr.org/tutorialspywareblaster.php

Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif qui est surtout utile pour Internet Explorer

=> Le fichier Hosts :
Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'exploiter.

- Télécharger le fichier Hosts de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP

- Télécharger les listes hosts du forum par Pierre Pinard : http://assiste.forum.free.fr/viewtopic.php?t=11318

- Explications sur le fichier Hosts : http://speedweb1.free.fr/frames2.php?page=securite10


Verifie si ta console Java est à jour:

Java Sun http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour)

Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippohttp://www.filehippo.com/download_java_runtime



Outils de détection et de désinfection non résidents



=>AVG anti-spyware :
- Téléchargement : http://www.ewido.net/en/download/

- Tutorial par Malekal_morte : http://www.malekal.com/tutorial_AVG_AntiSpyware.php

AVG anti-spyware est un antimalware très efficace. Certaines fonctions ne sont gratuites que 30 jours, mais il est très performant en analyse en mode sans échec.




=>Spybot - Search & Destroy 1.4 :
- Téléchargement : http://www.sosordi.net/Telechargement/logiciel-24-spybot-search-destroy

- Tutorial par Malekal_morte : http://www.malekal.com/tutorial_spybot.php


=>Ad-aware 2007 7.0.1.6 :
- Téléchargement : http://www.sosordi.net/Telechargement/logiciel-7-ad-aware


2)- Les utilitaires pour nettoyer le PC :

=> EasyCleaner de Toni Helenius :
- Téléchargement http://personal.inet.fi/business/toniarts/ecleane.htm
- Tutorial par Austin : http://www.pcparadise.fr/articles/index.php/tutorial-easycleaner
- Attention avec la fonction doublons


=> ATF Cleaner de Atribune :
- Téléchargement : http://www.atribune.org/ccount/click.php?id=1
- Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html


3)- Pour aller plus loin dans l'optimisation et la sécurisation - quelques pistes par Tesgaz

=>Configurez vos services :
http://speedweb1.free.fr/frames2.php?page=service3
http://speedweb1.free.fr/frames2.php?page=service4

=>Optimiser la protection de son PC pour Internet en toute sécurité :
http://speedweb1.free.fr/frames2.php?page=securite1

=>Autorisation et restriction des Dossiers et fichiers avec NTFS :
http://speedweb1.free.fr/frames2.php?page=securite4

=>Améliorer votre sécurité grâce aux restrictions :
http://speedweb1.free.fr/frames2.php?page=securite6

=>Les mots de passe :
http://speedweb1.free.fr/frames2.php?page=securite7



- Si tu considères ton problème comme résolu édite ton titre et met résolu entre crochets [Résolu] 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2, 3, 4 
Page 4 sur 4 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum