des petites bêtes partout

[invite7cffa284]

bonjour, je suis infestée de vilaines petites betes qui mettent un peu la pagaille dans mon pc docteur aidez-moi, merci d'avance
-----

[Pierre de Québec]

J'ai déplacé votre demande d'aide dans la rubrique "Internet - réseau - sécurité".

Svp, faite un effort pour poster dans la bonne rubrique.

Pour la modération

Pierre de Québec

[Pierre de Québec]

Il faudrait que vous soyez un peu plus loquace sur la description de "vos petites bêtes".

Quelles sont les réactions de votres PC qui vous font penser que vous avez un problème ?

[mach3]

salut,

je pense franchement qu'il faut une FAQ pour l'informatique, car la réponse que je vais donner est la meme que celle qui a été donnée à moulte reprise et qui sera surement donné encore et encore pour ce genre de probleme :

marche à suivre :

-mettre à jour son antivirus (en esperant qu'il n'ait pas été corrompu par des bebetes) ou en installer un si tu n'en as pas (petit imprudent!!!)

-installer et/ou mettre à jour adaware SE (gratuit) et spybot search&destroy (gratuit)

-redemarrer en mode sans échec (F8 au démarrage de windows, selectionner demarrer en mode sans echec dans le menu qui s'affiche)

-scanner le système successivement avec l'antivirus, adaware et spybot et supprimer les menaces qu'ils auront identifiées.

-redemarrer en mode normal

si les problèmes persistent, donne nous un listing de ton système grace à hijackthis (gratuit).

m@ch3

[A voir en vidéo sur Futura]

[Pierre de Québec]

Bonne suggestion. yoda1234 est le modo de la section, ce sera à lui de disposer de ta propostion.

[JPL]

Petit complément à mach3 : avant de redémarrer en mode sans échec, pour XP ou Millenium, arrêter la restauration du système (clic droit sur l'icône du poste de travail, et se laisser guider). La réactiver lorsque la désinfection est faite.

[igor51]

il est vrai que l'idée de mach est trés bonne, seulement il faut faire attention à bien détailler car une mauvaise manipulation est vite arrivée surtout quand on ne s'y connait pas trop en informatique.

[yoda1234]

Bonjour
J'y avais déja pensé et c'est pour cela que j'ai,depuis quelque temps, toujours sous la main ce début de protocole dont je fait un copier-coller.

Bonjour
avant d'en arriver a une analyse HijackThis:
Mettre a jour ton antivirus
Mettre a jour spybot.Si tu n'as pas spybot télécharge le ici.
Mettre a jour AD-Aware SE.Si tu n'as pas AD-Aware télécharge le ici.
telecharger CWShredder.
Vider ton cache
Effacer tes cookies
Effacer ton historique.
Pour tout cela sur
Firefox : Outils->options->Vie privée et tu trouveras les boutons concernés.
Sur IE: outils->options internet->general:supprimer les cookies;supprimer les fichiers;effacer l'historique.
Desactiver ta restauration système.
Passer en mode sans echecs.
Executer AD-AWARE.
Executer SPYBOT.
Executer CWShredder.
Exécuter ton antivirus.
Ne pas oublier de reactiver ta restauration système.Redémarrer en mode normal.
Si tu n'as pas d'antivirus fait un scan en ligne,tout en sachant que pour la plupart ils exigent Internet Explorer(activeX).
Mon préfèré:Kaspersky anti-virus.

Si quelqu'un voit quelque chose a modifier ou a changer qu'il le fasse savoir,je serais heureux de complèter.
J'oubliais:merci a tous les intervenants d'avoir proposé une idée comme celle-ci

[Pierre de Québec]

Je suggère la petite mise en page suivante :

Effacer ton historique. Pour tout cela sur :

• Firefox : Outils->options->Vie privée et tu trouveras les boutons concernés.
• Sur IE: outils->options internet->general:supprimer les cookies;supprimer les fichiers;effacer l'historique.

[yoda1234]

re-bonjour
ce qui donne:

Bonjour
avant d'en arriver a une analyse HijackThis:

• mettre a jour ton antivirus
• Mettre a jour spybot.Si tu n'as pas spybot télécharge le ici.
• Mettre a jour AD-Aware SE.Si tu n'as pas AD-Aware télécharge le ici.
  
• telecharger CWShredder.
  
• telecharger CWShredder.
  
• Vider ton cache.
• Effacer tes cookies.
• Effacer ton historique.
  Pour tout cela sur:
• Firefox :Outils->options->Vie privée et tu trouveras les boutons concernés.
• IE: outils->options internet->general:supprimer les cookies;supprimer les fichiers;effacer l'historique.
• Desactiver ta restauration système.
• Passer en mode sans echecs.
• Executer AD-AWARE.
• Executer SPYBOT.
• Executer CWShredder.
• Exécuter ton antivirus.

Ne pas oublier de reactiver ta restauration système.Redémarrer en mode normal.
Si tu n'as pas d'antivirus fait un scan en ligne,tout en sachant que pour la plupart ils exigent Internet Explorer(activeX).
Mon préfèré:Kaspersky anti-virus.

Qu'en penses tu?
Pas trop de "list"?

[Pierre de Québec]

C'est pas tout à fait ça que je voulais montrer.

Ça ressemblerais plutôt à ceci (j'ai pris soins de corriger les coquilles et de tout mettre en "vous"). Attention, j'ai pas reconduit les liens pour les téléchargements :

1. Mettre à jour votre antivirus.
2. Mettre à jour Spybot. Si vous n'avez pas Spybot télécharger-le ici.
3. Mettre a jour AD-Aware SE. Si vous n'avez pas AD-Aware télécharger-le ici.
4. Télécharger CWShredder.
5. Vider votre cache.
6. Effacer vos cookies.
7. Effacer votre historique. Pour tout cela sur:

• Firefox :Outils->options->Vie privée et vous trouverez les boutons concernés;
• IE: outils->options internet->general : supprimer les cookies; supprimer les fichiers;effacer l'historique.

8. Désactiver votre restauration système.
9. Passer en mode sans echecs.
10. Exécuter AD-Aware.
11. Exécuter Spybot.
12. Exécuter CWShredder.
13. Exécuter ton antivirus.

[cosak]

Bonjour,
je me permet de m'introduire dans cette discussion sans avoir la prétention d'apporter des solutions, je voudrais seulement poser une question à yoda1234: j'aimerais savoir pourquoi on conseille toujours de désactiver "la restauration système", je ne comprend pas très bien car lorsque j'effectue la procédure pour ce faire, il y a un avertissement qui apparaît en précisant que si on désactive, tous les points de restaurations seront effacés, n'est-ce pas dangereux?

[yoda1234]

bonjour,

j'aimerais savoir pourquoi on conseille toujours de désactiver "la restauration système"

La restauration système permet de revenir a une configuration antérieure si tu rencontres des problèmes suite a une mauvaise manipulation.Certains malwares peuvent profiter de cette particularité pour se "régénérer"suite a une éradiquation.

je ne comprend pas très bien car lorsque j'effectue la procédure pour ce faire, il y a un avertissement qui apparaît en précisant que si on désactive, tous les points de restaurations seront effacés, n'est-ce pas dangereux?

Non a partir du moment ou tu réactives cette restauration après tes manipulations
A propos de restauration système voici le MP que m'a envoyé igor51.Merci pour sa proposition.

bonsoir, j'ai bien lu ce que tu as mis et comme je sais que beaucoup de personnes ne connaissent que très peu de chose sur un pc, il faudrait peut-être détailler comment arriver en mode sans échec car ce n'est évident pour tout le monde. Puis de détailler aussi comment enlever(remettre) la réstauration système.

Voici ce qui en résulte:

1. Mettre à jour votre antivirus.
2. Mettre à jour Spybot. Si vous n'avez pas Spybot télécharger-le ici.
3. Mettre a jour AD-Aware SE. Si vous n'avez pas AD-Aware télécharger-le ici.
4. Télécharger CWShredder.
5. Vider votre cache.
6. Effacer vos cookies.
7. Effacer votre historique. Pour tout cela sur:

• Firefox :Outils->options->Vie privée et vous trouverez les boutons concernés;
• IE: outils->options internet->general : supprimer les cookies; supprimer les fichiers;effacer l'historique.

8. Désactiver votre restauration système,pour cela:

• Cliquez sur Démarrer avec le bouton gauche
• Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés
• Cliquez sur l'onglet "Restauration du système"
• Sélectionnez "Désactiver la Restauration du système" ou "Désactiver la Restauration du système sur tous les lecteurs"
• Cliquez sur Appliquer.Un message apparaitra;acceptez en cliquant sur oui.

9. Passer en mode sans echecs,pour cela:
Redémarrez votre pc et taper sur F8 pendant la phase de redémarrage jusqu'a ce que le pc vous propose entre autre choix "demarrer en mode sans echecs"
10. Exécuter AD-Aware.
11. Exécuter Spybot.
12. Exécuter CWShredder.
13. Exécuter votre antivirus.
14 Redémarrer en mode normal.
Ne pas oublier de reactiver ta restauration système,pour cela:

• Cliquez sur Démarrer
• Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
• Cliquez sur l'onglet "Restauration du système"
• Desectionnez "Désactiver la Restauration du système" ou "Désactiver la Restauration du système sur tous les lecteurs"
• Cliquez sur Appliquer puis sur OK.

Merci de me corriger si vous remarquiez des erreurs ou si vous vous vouliez me proposer des améliorations de mise en forme.

[JPL]

Dernier détail : certains vers, malheureusement assez nombreux, inactivent les antivirus (et/ou les pare-feux) et certains, même, empêchent de se connecter aux sites des éditeurs d'antivirus. Dans ce cas là on est un peu dans la m...élasse
Il ne reste guerre que certains antivirus en ligne pour détecter la (ou les) bête(s). Et l'espoir de télécharger ou se faire télécharger par un ami l'outil de désinfection spécifique fourni gratuitement par les éditeurs d'antivirus.
D'où l'intérêt de faire une mise à jour quotidienne de l'AV (c'est automatique sur tous si on choisit l'option, non ?).

[yoda1234]

Dernier détail : certains vers, malheureusement assez nombreux, inactivent les antivirus (et/ou les pare-feux) et certains, même, empêchent de se connecter aux sites des éditeurs d'antivirus. Dans ce cas là on est un peu dans la m...élasse
Il ne reste guerre que certains antivirus en ligne pour détecter la (ou les) bête(s). Et l'espoir de télécharger ou se faire télécharger par un ami l'outil de désinfection spécifique fourni gratuitement par les éditeurs d'antivirus.
D'où l'intérêt de faire une mise à jour quotidienne de l'AV (c'est automatique sur tous si on choisit l'option, non ?).

Tu as raison,c'est pour cela que j'ai egalement a portée de mains(sur un deuxieme disque dur) stinger.
D'ailleurs je viens de m'apercevoir que la version que j'ai n'est plus a jour.
En plus je me souviens d'un message a toi ou tu conseillais,avec justesse d'ailleurs,ceci:miniremoval_coolwebsearch_smar tkiller pour ce genre de cas.

[Garion]

9. Passer en mode sans echecs,pour cela:
taper sur F8 jusqu'a ce que le pc vous propose entre autre choix "demarrer en mode sans echecs"

Il faudrait préciser que c'est au démarrage qu'il faut faire ça, car sinon y'en a qui vont essayer sous windows.

[yoda1234]

bonjour
et merci,j'ai rectifié selon ton voeu.

[Aigoual]

Excellent check-up.

Juste un petit détail, peut-être : lors d’une nouvelle installation ou réinstallation du système d’exploitation, penser à se déconnecter du réseau (en ADSL, débrancher physiquement l’arrivée Internet)

Entre le moment où le système d’exploitation est actif et celui où l’anti-virus et le pare-feux sont opérationnels, les bébêtes peuvent se montrer extrêmement agressives…

Aigoual.

[yoda1234]

Excellent check-up.

Juste un petit détail, peut-être : lors d’une nouvelle installation ou réinstallation du système d’exploitation, penser à se déconnecter du réseau (en ADSL, débrancher physiquement l’arrivée Internet)

Entre le moment où le système d’exploitation est actif et celui où l’anti-virus et le pare-feux sont opérationnels, les bébêtes peuvent se montrer extrêmement agressives…

Aigoual.

Bonjour,
Tu as raison,mais tu es un peu hors-sujet:Nous ne parlons pas d'une ré-installation mais de quelques manipulations simples a faire s'il y a soupçon de contamination par un malware.
J'ajouterais que le "format disc" est la dernière chose a faire.Cela n'est necessaire que dans de très rares cas.

[invite7cffa284]

bonjour,
désolée de ne pas avoir été assez clair.Spybot me truve ceci:coolwwwsearch.feat2instal ler, lsa, alexa related et Antivir trouve Adspy je vous Logfile of HijackThis v1.99.1
Scan saved at 13:22:09, on 11/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\LMPDPSRV.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\fujifilm\QuickDCF.exe
C:\Program Files\Lexmark X125\LEX125SU.exe
C:\Program Files\Tiscali\Dialer\Dialer.ex e
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\user\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer,SearchURL = http://www.the818search-co.com/sp2.php
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://www.the818search-co.com/sp2.php
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\U serinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SPYBOT~1\SDHelper. dll
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam .exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Win Security] msw32.pif
O4 - HKLM\..\Run: [XoftSpy] D:\ad aware\xoftspy\XoftSpy.exe -s
O4 - HKLM\..\RunServices: [Win Security] msw32.pif
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Spybot - Search & Destroy\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-58-12-0000111.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Win Security] msw32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Exif Launcher.lnk = D:\fujifilm\QuickDCF.exe
O4 - Global Startup: Utilitaire des paramètres Lexmark X125.lnk = C:\Program Files\Lexmark X125\LEX125SU.exe
O8 - Extra context menu item: Télécharger avec Star Downloader - D:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/...er/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadCont rol Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip \..\{5AE8E91A-2B10-42F4-BCA1-556D51BDF625}: NameServer = 213.36.80.1 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip \..\{5AE8E91A-2B10-42F4-BCA1-556D51BDF625}: NameServer = 213.36.80.1 213.36.80.1
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: netinfo - Unknown owner - C:\WINDOWS\netinfo.exe (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe (file missing)
merci beaucoup

[igor51]

Bonjour,
au vu de ce log, il faut ajouter que de tenir à jour son système d'exploitation (quelqu'il soit) est le plus important, car les mises à jours corrigent certains problèmes et protègent les failles des systèmes d'exploitations.
Pour la lecture du log, je peux le faire (ce soir) mais je préfère laisser quelqu'un qui s'y connait mieux pour t'aider.

++

[invite7cffa284]

ok merci beaucoup

[Cyrrus]

Bonjour à tous,
Il existe deja plusieurs procédures dites "pré-hijackthis". Elles ont été conçus justement dans le but de netyoyer tout ce qui est nettoyable. Je mets le lien vers la procédure qui aujourd'hui ( à mon humble avis bien sur), est la plus efficace et rapide au vu des dernières infections en vigeur...
http://forum.zebulon.fr/index.php?showtopic=69176
Bonne journée à tous.
PS : j'analyse ton log, réponse dans 15...20 min

[Cyrrus]

Re,
Deja desinstalle Xoftspy qui est un faux utilitaire de securité. Secundo mets hijackthis dans un dossier sécifique ( pas dans les fichiers temporaires) ou sinon tu risque de perdre les backup.

Puis lance hijackthis et coche les lignes suivantes :

R1 - HKCU\Software\Microsoft\Intern et Explorer,SearchURL = http://www.the818search-co.com/sp2.php (cette adresse me semble néfaste mais si tu l'as mis toi même ne coche pas)
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://www.the818search-co.com/sp2.php(même chose)
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Local Page = \blank.htm
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll
O4 - HKLM\..\Run: [Win Security] msw32.pif
O4 - HKLM\..\Run: [XoftSpy] D:\ad aware\xoftspy\XoftSpy.exe -s (comme je te l'ai dit, ceci est un faux utilitaire de sécurité, à desinstaller)
O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-58-12-0000111.exe
O4 - HKCU\..\Run: [Win Security] msw32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O8 - Extra context menu item: Télécharger avec Star Downloader - D:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com...ver/Install.cab
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: netinfo - Unknown owner - C:\WINDOWS\netinfo.exe (file missing)
O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe (file missing)

Puis ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked.

Puis redemarre en mode sans echec et supprime les fichiers suivants si trouvé :

C:\Program Files\DNS<<-- le dossier
C:\WINDOWS\netinfo.exe<<-- le fichier
C:\WINDOWS\tsecure.exeww-- le fichier

Puis redemarre normalement et fais Demarrer>Executer, copie/colle (en incluant les guillemets) :

sc stop "netinfo"<<-- puis clique sur Ok
sc stop "tsecure"<<-- puis clique sur OK

Enfin télécharge CCleaner
Installe le
Lance le
Clique sur Analyse et ensuite sur Lancer le nettoyage

Enfin reposte un log hijackthis

N'oublie pas non plus de mettre à jour ton systeme d'exploitation régulierement.
Bonne journée
Cyrrus