procédure désinfection

[Alzen McCAW]

bonjour,

vu que :

• les utilisateurs de l'ordi font n'importe quoi et vont n'importe où
• des fois l'ordi s'éteint puis redémarre tout seul
• des fois le ventilo du cpu semballe sans raison apparente, et que je suis obliger d'éteindre parce que ça ne s'arrête pas (rien d'ouvert, pas encrassé et température du local à 19°C, peut être manque-t-il du gel contactal entre le cpu et le radiateur ? ). J'ai fait démarrage sans échec pour une manip, et là, le ventilo s'est transformé en hélicoptère (oui Marseille ...)
• des fois j'ai plus la main : soit la souris et le clavier se bloque, soit ça n'écrit pas ce qu'on veut...
• des fois le Disque Dur crépite comme un damné sans raison apparente
• des fois l'ordi est super lent

bah j'ai des des doutes sur les affreux...
et je sollicite votre aide si vous le voulez bien...afin de désinfecter s'il y a lieu, avant que je remette de l'ordre et d'enlever tout ce qui sert à rien (avec votre aide ça aussi bien sûr).

Merci,
Alzen le boulet
-----

[Alzen McCAW]

ah oui, j'ai passé ATF-Cleaner avant...

[invitec04351b8]

Bonjour,

qui sont les affreux ? combien sont-ils et quel âge ont-ils ?pour ajuster les conseils à la fin.

Fais ceci :

Télécharge et installe UsbFix de Chiquitine29 sur ton Bureau.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+

[Alzen McCAW]

coucou,
je ferais ce que tu m'as demandé ce soir... en attendant :

...qui sont les affreux ? combien sont-ils et quel âge ont-ils ? Pour ajuster les conseils à la fin.

Le premier c'est moi, parfait Boulet, mais bon j'essaye de pas faire trop de conneries et d'avoir un comportement responsable, lu dossiers FSG et malekal entre autres...

Les autres affreux n'ont accès qu'à la session invité principalement*, ils sont :

• mes deux gamins et tous les ados qui passent par là.
• nos copains adultes qui se servent de l'ordi (même quand on est pas là, c'est une maison bleue... ceux qui vivent là ont jeté la clef...) et parmi ceux-la, il y a de redoutables "kissikoné" qui installent et téléchargent des trucs alors qu'il y a un panneau qui dis que je suis contre !!! *Je soupçonne certains de se servir de l'ordi avec F8 !!! Certain on eu accès à la Session Admin, comme ici : http://forums.futura-sciences.com/lo...k-express.html (toujours pas résolu, on verra après)

Télécharge et installe ...sur ton Bureau.

comme d'habitude quand je vais cliquer sur le lien, une fenêtre "téléchargement" va apparaitre, un seul bouton marqué "téléchargé" va s'afficher et quand je clique dessus ça va directement dans "Bureau/Mes Documents/Téléchargement" puis je le ramène sur le Bureau en faisant un "cliquer-glisser". Est-ce que la manip est bonne quand même ?

Cordialement,

[A voir en vidéo sur Futura]

[invitec04351b8]

Re,

je suppose qu'il y a un mot de passe sur la session que tu utilises (et que tu le changes régulièrement).

Il faut aussi qu'il y en ait un sur la session Administrateur du mode sans échec (à ne pas perdre celui-la !!!!).

====

Il y a un réglage qui te permet de choisir à chaque fois où tu télécharges le fichier (outils puis options).

Sinon ta méthode ne pose pas de problèmes.

@+

[Alzen McCAW]

bonjour,

• pas de supports données externes disponibles pour le moment, éparpillés chez les copains...ma propre clé usb est partie dans mon dos .
• pas su répondre (envoyer le rapport) à la page web concernant UsbFix, qui s'ouvre automatiquement à la fin du test, désolé...

voici le rapport en copier-coller
edit : fallait-il le mettre entre balises ?

##############################

[yoda1234]

Bonjour,

voici le rapport en copier-coller
edit : fallait-il le mettre entre balises ?

non, le mettre en pièce jointe comme je l'ai fait.

[invitec04351b8]

Bonjour,

comme te l'a dit yoda1234, tous les rapports en pièce-jointe.

===

Si tu n'arrives pas à contrôler un minimum ce qui se passe sur l'ordi, tu vas aller d'infections en infections.

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

@+

[Alzen McCAW]

bonjour,
désolé pour le contre temps : surcharge de travail + Xynthia à la suite...


pour la procédure je reprend là où on en était ou tout depuis le début ?

Merci, Alzen

[invitec04351b8]

Bonjour,

tu fais le contenu du post 8.

On verra ensuite.

@+

[Alzen McCAW]

hello,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

pas su faire "contrôle mise à jour" c'est où et quand ? ; le reste c'est déroulé tout seul, Mais en Anglais !!!

(vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

tout le monde dit "vider cache navigateur", mais moi Boulet seulement savoir trouver panne sur machine triphasé 380 V

===

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.

jusque là c'est bon...

* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.

y veut pas de jucheck, il veux bien avec Sun, mais après j'entrave que dalle ?!!! Désolé

[invitec04351b8]

Bonjour,

c'est en anglais.

dans l'onglet Parameters, Language, peux tu choisir "français" ?

Si oui, tu le fais.

===

L'onglet Update(r) est devenu Mise à jour.

Tu l'ouvres et tu cliques sur Recherche de mise à jour.

Quand c'est fini, tu reviens sur l'onglet Recherche et tu fais le scan comme demandé.

Tu postes le rapport obtenu.

@+

[Alzen McCAW]

Re,

voici pour MBAm, 2 rapports, un avant màj, l'autre après...

=========
pour JavaRa, je verrais ce soir



========

[invitec04351b8]

Bonjour,

comme quoi la mise à jour est utile.

===

Tu feras redémarrer l'ordi, retourner RSIT et tu mettras le nouveau rapport en pièce-jointe.

@+

[Alzen McCAW]

bonjour,

rapport de RSIT... que j'aimerai bien apprendre à lire... histoire de voir si je peux éduquer certains affreux...

cordialement,
Alzen
========
quiconque de l'équipe Anti-malware passant par chez nous, sera accueilli avec un bon gueuleton du terroir et un Cognac de derrière les fagots...

[invitec04351b8]

Bonjour,

il faut que tu migres de Avast 4 vers Avast 5 pour une meilleure protection (toujours gratuite) (clic droit sur l'icône et mise à jour);

===

Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

http://www.malekal.com/tutorial_Online_Armor.php

===

Pour les rapports, l'idée de base est simple : afficher les éléments de la base de registre et du système de fichiers qui sont la cible des malwares.

Ceci : http://www.bleepingcomputer.com/tuto...torial123.html

va te donner la liste de ce qui est listé par la partie Hijackthis.

La partie RSIT me semble plus "documentée" et parfois redondante (clés "run" par exemple).

Tout n'est pas forcément listé (il peut y avoir des filtres pour limiter le nombre d'éléments "sains").

Le rapport, malgré les filtres, mélange éléments sains et malwares. Il faut l'analyser pour trier (mais c'est une autre histoire).

===

Comment va l'ordi maintenant ?

@+