DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 24 Nov 2024 à 16:08 FAQ | Rechercher | Membres | Groupes

[RESOLU] alerte virus


Aller à la page Précédente  1, 2 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
antoine1965



Inscrit le: 13 Juin 2008
Messages: 41

MessagePosté le: 15 Juin 2010 à 7:38    Sujet du message: Répondre en citant

bonjour

j'ai par exemple un affichage de java qui se met en marche sans raison des pop up qui continuent de s'afficher genre la redoute ebay etc etc enfin pas en continu mais régulièrement.

une alerte comme par ex :

Dans le fichier 'C:\Users\antoine\AppData\Local\Temp\Zjd.exe'
un virus ou un programme indésirable 'TR/Dldr.CodecPack.mao' [trojan] a été détecté.
Action exécutée : Déplacer le fichier en quarantaine

voici les liens :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijvnLXB9L.txt

http://www.cijoint.fr/cjlink.php?file=cj201006/cijtjva9Vh.txt 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 15 Juin 2010 à 18:36    Sujet du message: Répondre en citant

RE, on va dégager ça du PC
- Télécharge OTM.exe (de Old_Timer) http://oldtimer.geekstogo.com/OTM.exe sur ton bureau

- Double-clique sur OTM.exe.

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

http://moe.mabul.org/up/moe/2010/02/21/img-122848wwcbl.jpg

Citation:
:Processes
explorer.exe

:Files
c:\windows\system32\sshnas21.dll
C:\Programs\PartyGaming
C:\Windows\Zbyfeb.exe
C:\Windows\Zbyfea.exe
C:\Windows\w32dasm8.ini
C:\Users\antoine\AppData\Local\Temp\Zjd.exe
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Halo2"=-


:Commands
[EmptyFlash]
[EmptyTemp]
[Reboot]


- Clique sur MoveIt! pour lancer la suppression.

- Copie/colle dans ton prochain post le résultat qui apparaît dans le cadre Results puis clique sur Exit

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.


NOTE: Tu peux également retrouver le rapport de OTM dans C:\_OTM\MovedFiles.
Fait analyser ces deux fichiers sur http://www.virustotal.com/ et poste les rapports


C:\Windows\system32\drivers\a1d4c9b1.sys
C:\Windows\system32\drivers\a1nn8rr2.sys 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
antoine1965



Inscrit le: 13 Juin 2008
Messages: 41

MessagePosté le: 15 Juin 2010 à 18:57    Sujet du message: Répondre en citant

voici le rapport :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
LoadLibrary failed for c:\windows\system32\sshnas21.dll
c:\windows\system32\sshnas21.dll moved successfully.
C:\Programs\PartyGaming\plugins folder moved successfully.
C:\Programs\PartyGaming\PartyPoker\Language\fr_FR\images\NewGameTable folder moved successfully.
C:\Programs\PartyGaming\PartyPoker\Language\fr_FR\images folder moved successfully.
C:\Programs\PartyGaming\PartyPoker\Language\fr_FR folder moved successfully.
C:\Programs\PartyGaming\PartyPoker\Language folder moved successfully.
C:\Programs\PartyGaming\PartyPoker folder moved successfully.
C:\Programs\PartyGaming\language\fr_FR folder moved successfully.
C:\Programs\PartyGaming\language folder moved successfully.
C:\Programs\PartyGaming folder moved successfully.
C:\Windows\Zbyfeb.exe moved successfully.
C:\Windows\Zbyfea.exe moved successfully.
C:\Windows\w32dasm8.ini moved successfully.
File/Folder C:\Users\antoine\AppData\Local\Temp\Zjd.exe not found.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Halo2 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: antoine
->Temp folder emptied: 1568190 bytes
->Temporary Internet Files folder emptied: 98043058 bytes
->Java cache emptied: 285712 bytes
->FireFox cache emptied: 33760694 bytes
->Flash cache emptied: 210745 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 5220 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1282 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 10263943 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 137,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06152010_184627

Files moved on Reboot...

Registry entries deleted on Reboot...


aucun des deux fichiers n'est présent. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 16 Juin 2010 à 21:11    Sujet du message: Répondre en citant

RE, en affichant les fichiers caché non lus?


Autorise l'affichage des fichiers et dossiers cachés de cette façon :

Citation:

*Poste de travail menu Outils - Option des dossiers onglet Affichage
*Activer le bouton radio: Afficher les Fichiers et dossiers cachés
*Décocher: Masquer les fichiers protégés du système d'exploitation (recommandé)
*Décocher: Masquer les extensions dont le type est connu
*Cliquer sur Appliquer et Ok pour valider les changements
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
antoine1965



Inscrit le: 13 Juin 2008
Messages: 41

MessagePosté le: 16 Juin 2010 à 21:16    Sujet du message: Répondre en citant

bonsoir

non aucun de ces fichiers 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 16 Juin 2010 à 21:16    Sujet du message: Répondre en citant

Ok, il y a encore des soucis?  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
antoine1965



Inscrit le: 13 Juin 2008
Messages: 41

MessagePosté le: 17 Juin 2010 à 7:01    Sujet du message: Répondre en citant

bonjour

non j ai assez rarement un onglet de pub qui s'ouvre mais plus aucune alerte virus

merci pour ton aide une fois de plus 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 17 Juin 2010 à 17:56    Sujet du message: Répondre en citant

Re, pour la publicité soft, le fichier hosts est recommandé





- On va bloquer les régies de pub

- Rends toi dans C:\WINDOWS\system32\drivers\ etc

Tu y trouvera un fichier nommé hosts sans extension, double clic dessus choisis le bloc notes pour l'ouvrir

Surligne le texte en citation, clic droit dessus choisis copier et ajoute le à la fin de ton fichier hosts les lignes qui sont en citation.

Citation:

127.0.0.1 www.meetyourmessenger.com
127.0.0.1 www.meetyourmessenger.fr
127.0.0.1 www.meetyourmessenger.be
127.0.0.1 www.meetyourmessenger.pt
127.0.0.1 www.meetyourmessenger.it
127.0.0.1 www.meetyourmessenger.ch
127.0.0.1 www.queblock.com/fr/
127.0.0.1 www.checkmessenger2.net/fr/s/check-messenger/
127.0.0.1 fr.bloquo.com/main
127.0.0.1 www.inspectmessenger.com/
127.0.0.1 www.kimebloc.1s.fr/
127.0.0.1 www.cocoland.fr/
127.0.0.1 www.greatstuff.com
127.0.0.1 ads.regiedepub.com
127.0.0.1 clibleclick.com
127.0.0.1 doubleclick.net
127.0.0.1 espace.netavenir.com
127.0.0.1 mediaplex.com
127.0.0.1 smartadserver.com
127.0.0.1 tradedoubler.com
127.0.0.1 valueclick.com
127.0.0.1 valueclick.fr
127.0.0.1 advertising.com
127.0.0.1 bluestreak.com
127.0.0.1 mediaplex.com
127.0.0.1 mediaplex.fr
127.0.0.1 mediaplex.com/fr
127.0.0.1 statcounter.com
127.0.0.1 ad.adserverplus.com
127.0.0.1 engine.espace.netavenir.com
127.0.0.1 adviva.com
127.0.0.1 coremetrics.com
127.0.0.1 webtrendlive.com
127.0.0.1 ad.yieldmanager.com
127.0.0.1 www.captainkdo.com
127.0.0.1 track.effiliation.com
127.0.0.1 www.mailskinner.com
127.0.0.1 aflgate.com
127.0.0.1 bqgate.com
127.0.0.1 protectionfield.com
127.0.0.1 qzgate.com
127.0.0.1 xvgate.com
127.0.0.1 asafetysolution.com
127.0.0.1 asecuresource.com
127.0.0.1 asecuretool.com
127.0.0.1 asecurityclick.com
127.0.0.1 asoftwarepro.com
127.0.0.1 bnmgate.com
127.0.0.1 cdegate.com
127.0.0.1 krgate.com
127.0.0.1 pdgate.com
127.0.0.1 protectionroom.com
127.0.0.1 asecuritynote.com
127.0.0.1 asafetyway.com
127.0.0.1 fhgate.com
127.0.0.1 hwgate.com
127.0.0.1 aprotectinfo.com
127.0.0.1 viruseffaceur.com
127.0.0.1 XPOnlinescanner.com
127.0.0.1 123-argent.fr
127.0.0.1 www.meetyourmessenger.com
127.0.0.1 www.meetyourmessenger.fr
127.0.0.1 www.meetyourmessenger.be
127.0.0.1 www.meetyourmessenger.pt
127.0.0.1 www.meetyourmessenger.it
127.0.0.1 www.meetyourmessenger.ch
127.0.0.1 www.queblock.com/fr/
127.0.0.1 www.checkmessenger2.net/fr/s/check-messenger/
127.0.0.1 fr.bloquo.com/main
127.0.0.1 www.inspectmessenger.com/
127.0.0.1 www.kimebloc.1s.fr/
127.0.0.1 www.cocoland.fr/
127.0.0.1 www.greatstuff.com




** Appuie sur la touche Tab pour laisser un espace entre 127.0.0.1 et l'adresse.

Rajoute toutes les adresses que tu veux bloquer selon le même principe

Clique ensuite sur Fichier et Enregistrer.

Si tu n'as plus de soucis, on peut passer au final

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telechargement-34055291-toolscleaner
- Enregistrer ToolsCleaner2.exe sur le Bureau.

- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


Garde:

- MalwareByte's, l Un scan tous les dix jours après une mise à jour de l'outil en mode sans échec aidera ton PC à rester en forme



Et maintenant je te fais le traditionnel discours de prévention et de sécurité.

- Windows Update parfaitement à jour http://www.windowsupdate.com/ (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware
- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml


Programmes à ne pas installer car vecteurs d'infections navipromo:

* Funky Emoticons
* go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Original Solitaire
* SuperSexPlayer
* Speed Downloading
* Sudoplanet
* Webmediaplayer
* Favorit
* Games-Attack
* Sudoku



1)- Voici les utilitaires et programmes que tu peux installer pour sécuriser ton PC :


Navigateurs

=> Firefox, un vrai navigateur que tu pourras sécuriser avec les conseils de Megataupe :
- Téléchargement : http://www.mozilla-europe.org/fr/products/firefox/
- Tutorial http://www.libellules.ch/phpBB2/tuto-guide-firefox-2-0-presentation-explications-t21020.html#127873
- Je te le recommande vivement !

=> Opera
- Téléchargement : http://www.opera.com/download/
- Tutorial par Pitcat : http://speedweb1.ovh.org/forum-tesgaz/viewtopic.php?t=464&highlight=&sid=55b9d470dbd4bd520ae5af52b512dbab

Si tu veux toujours utiliser IE ! :

=> IE-SPYAD : (ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux)
Pour Internet Explorer uniquement ! (une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg : les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit !)
- Téléchargement : http://www.spywarewarrior.com/uiuc/resource.htm


Sécurisation des ports

=> ZebProtect (pour sécuriser les ports de ton PC, très simple) :
- Téléchargement : http://telechargement.zebulon.fr/123.html
- Tutorial par Tesgaz : http://www.zebulon.fr/articles/zebprotect.php

=> Si tu veux tester ton firewall :
- scanner les ports du PC : http://www.pcflank.com/


Sécurisation de la navigation

=> SpywareBlaster :
- Téléchargement : http://www.javacoolsoftware.com/downloads.html
- Tutorial : http://www.ordi-netfr.org/tutorialspywareblaster.php

Freeware permettant d'empêcher l'installation de spywares (logiciels espions) et autres adwares (insertion de publicité) sur ton PC. Contrairement à des logiciels comme Spybot - Search & Destroy ou Ad-aware, SpywareBlaster est un logiciel préventif qui est surtout utile pour Internet Explorer

=> Le fichier Hosts :
Souvent négligé par les internautes, il est pourtant très recommandé de savoir l'exploiter.

- Télécharger le fichier Hosts de Tesgaz régulièrement mis à jour : http://speedweb1.free.fr/download/secu/hosts.ZIP

- Télécharger les listes hosts du forum par Pierre Pinard : http://assiste.forum.free.fr/viewtopic.php?t=11318

- Explications sur le fichier Hosts : http://speedweb1.free.fr/frames2.php?page=securite10


Verifie si ta console Java est à jour:

Java Sun http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour)

Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippohttp://www.filehippo.com/download_java_runtime



Outils de détection et de désinfection non résidents

=>Malwarebytes' Anti-Malware (MBAM)
- Téléchargement : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Tutorial par Malekal_morte http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php


2)- Les utilitaires pour nettoyer le PC :

=> ATF Cleaner de Atribune :
- Téléchargement : http://www.atribune.org/ccount/click.php?id=1
- Tutorial par Lomaster : http://lomaster.freehostia.com/atfcleaner.html


3)- Pour aller plus loin dans l'optimisation et la sécurisation - quelques pistes par Tesgaz

=>Configurez vos services :
http://speedweb1.free.fr/frames2.php?page=service3
http://speedweb1.free.fr/frames2.php?page=service4

=>Optimiser la protection de son PC pour Internet en toute sécurité :
http://speedweb1.free.fr/frames2.php?page=securite1

=>Autorisation et restriction des Dossiers et fichiers avec NTFS :
http://speedweb1.free.fr/frames2.php?page=securite4

=>Améliorer votre sécurité grâce aux restrictions :
http://speedweb1.free.fr/frames2.php?page=securite6

=>Les mots de passe :
http://speedweb1.free.fr/frames2.php?page=securite7


- Si tu considères ton problème comme résolu, édite le premier post et marque (Résolu] derrière 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
antoine1965



Inscrit le: 13 Juin 2008
Messages: 41

MessagePosté le: 17 Juin 2010 à 23:10    Sujet du message: Répondre en citant

voici le rapport :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Users\antoine\Downloads\OTM.exe: trouvé !
C:\Users\antoine\Downloads\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Users\antoine\Downloads\OTM.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Users\antoine\Downloads\Rsit.exe: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


Merci pour ton aide et tous tes conseils
bonne nuit 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 18 Juin 2010 à 18:00    Sujet du message: Répondre en citant

Re, à bientôt sur depannetonpc

Sans infection bien sur



Laughing Laughing 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page Précédente  1, 2 
Page 2 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum