Virus Win32:Qandr [Rtk] sur le pcRésolu/Fermé

Question

Configuration: Windows Vista / Firefox 3.6.6

Bonjour,

Il y a deux semaines, en cherchant à regarder un match de basket sur un tv américaine, j'ai eu une série de bugs qui m'ont obligé à reboot mon pc, et en rebootant j'ai eu la désagréable surprise d'y trouver ce RootKit.
Etant très négligeant avec la sécurité de mon PC avant ça, je n'avais pas mis Avast à jour depuis février, et donc sanction ...

En premier lieu mes paramètres Proxy de Firefox et IE ont été activés et ne me permettaient plus d'accéder aux pages internet, chose que j'ai réglé en les resupprimant.

En mettant Avast à jour hier soir il m'a donc découvert ce virus (Win32:Qandr [Rtk]) et, depuis ce moment, j'essaie en vain de le supprimer.

J'ai commencé par Malwarebytes, qui m'a trouvé une quantité astronomique de Trojans et Cie, aujourd'hui en quarantaine ... Mais il me détecte toujours ce virus sous le nom de zozmri.sys dans le Systeme32 en tant que RootKit.Agent .

J'ai essayé un scan CCleaner, sans succès également.

Enfin j'ai tenté Killbox, dont un composant essentiel était supprimé, sans doute par le Malware, que j'ai réinstallé afin de pouvoir le Run, lui même sans succès.

En quelque sorte, Malwarebytes et Killbox confirment la suppression du fichier, mais j'ai l'impression qu'il se remet dès le reboot du PC.

Voilà, j'ai effectué toutes ces procédures sur les conseils d'un pote sur skype car je suis un total novice en matière de sécurité PC. Si quelqu'un ici a une solution miracle je suis preneur, car d'après ce que m'a dit ce même ami, un RootKit est très dangereux pour le PC donc j'aimerai assez le faire disparaitre ^^ .

Merci d'avance.

Maverick

spode_90 · Answer

pose un rapport hijackthis

Maverick · Answer

Merci pour la réponse rapide :) .

J'ai le rapport, faut-il être membre pour pouvoir joindre des fichiers ??

spode_90 · Answer

tu le post la : http://www.cijoint.fr/ et tu donne l'adresse du post

Maverick · Answer

Le fichier donné est un .log je n'arrive pas à l'host sur cijoint.fr , j'ai peut être raté quelque chose sur Hijackthis, je ne connais pas ce programme.

spode_90 · Answer

sur le site tu fais parcourir et tu va chercher le log et tu va surcliquer ici pour deposer le fichier ensuite il va te mettre le fichier ....*.log et été deposer avec succes

Maverick · Answer

Problème :o je vais bien chercher mon .log dans parcourir, mais quand je clique sur "déposer le fichier" il me marque vous n'avez pas choisi de fichier, et dans la liste des formats acceptés le .log n'y figure pas.

spode_90 · Answer

enregistre le log en *.txt ou copie et colle sur le prochaine post

Maverick · Answer

C'est bon, c'est passé en .txt en modifiant le nom du scan : http://www.cijoint.fr/cjlink.php?file=cj201006/cijDNoX4iZ.txt

spode_90 · Answer

Ca c'est bizarre 

O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\klvv.tmp\svchost.exe (User 'Default user') 

Fais Demarrer tape regedit tu vas la HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run  et supprime ces entrées

tu nettoye avec ccleaner les applications et le registre

Maverick · Answer

J'ai pu supprimer celui qui se nommait svchost.exe (en donnée il me semble), mais il y en a un autre dans ce dossier nommé (par défaut) de type REG_SZ avec une valeur non définie qui n'est pas supprimable

spode_90 · Answer

normal donne un coup de ccleaner

Maverick · Answer

C'est fait, j'ai fait deux fois Nettoyer comme je l'avais fait précédemment (je ne connais pas ce programme non plus j'ai suivi juste des instructions). Il ne semble rien y avoir d'anormal.

spode_90 · Answer

tu redemarre et ca dois etre bon dis moi si c le cas

Maverick · Answer

J'ai reboot, mais le fichier infecté zozmri.sys est toujours présent dans le dossier C:/Windows/System32/driver . Sa date de modification affichée s'ajuste à la minute actuelle a chaque changement, je sais pas si sa peut aider.

J'ai également eu deux reboots livebox au moment du redémarrage, j'espère que ce n'est pas non plus lié.

spode_90 · Answer

Fais une analyse en mode sans echec avec ton anti virus

Maverick · Answer

Je dois faire ça comment ? J'ai Avast pour antivirus, quand le pc a été éteint correctement le lancer en mode sans échec je ne sais pas faire :/

Maverick · Answer

Le probleme est serieux ... J ai fait ceci, j ai demarré en mode sans echec, j ai demandé un scan Avast du dossier System32, il ma decouvert 2 virus, dont le zozmri.sys, la zone de quarantaine n etait pas disponible, j ai donc demandé une suppression de ces fichiers, une fois le scan terminé, j ai reboot, j ai constaté que non seulement le fichier zozmri.sys etait encore présent, et ma carte reseau a planté, je n arrive plus a me connecter a internet ... J ecris ici de mon Iphone. Je ne peux pas bien suivre les reponses d ici, il me faut attendre demain pour regarder a partir d jn autre pc dans la maison d un autre pc les differentes actions que je peux entreprendre.. j espere que je finirai par me tirer de ce probleme >.<

dédétraqué · Answer

Salut Maverick


Faire un clic droit sur ce lien :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Pour Internet Explorer

- Choisi Enregistrer la cible sous ...

Pour Firefox

- Choisi Enregistrer la cible du lien sous...


- Choisi le bureau comme lieu d'enregistrement

- Donne lui ce nom bibite.exe clique sur Enregistrer

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur bibite.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

Maverick · Answer

Merci de proposer une nouvelle manip, seulement je suis dans l'incapacité de la faire, car depuis le dernier reboot hier je n'ai plus de connexion à internet sur cet ordinateur, ma connexion se fait seulement au réseau local sur ma Livebox, la raison donnée :

Le service client DHCP n'est pas exécuté sur cet ordinateur.

Pourtant la Livebox marche, je suis sur un autre PC du réseau qui n'a aucun problème de connexion ..

dédétraqué · Answer

Salut Maverick


Vérifier si l'infection t'a pas installer un Proxy :
Pour Internet Exlporer, dans le haut clique sur Outils/Options Internet, clique sur l'onglet Connexions/Paramètres réseau et voir a décoché la case Serveur proxy.

Pour Firefox :
Ouvre Firefox, dans le haut clique sur Outils/Options/Avancé clique sur l'onglet Réseau/Paramètres, coche Pas de proxy. 


Sinon voir a mettre Combofix sur un clé Usb pour le mettre sur le PC malade...


@++   :)

Maverick · Answer

J'ai tenté de le redémarrer, j'ai un message d'erreur :  
Erreur 1075 : service de dépendance inexistant ou marquer pour suppression.  

Ce fichier en question serait svchost.exe selon ce que j'ai vu dans paramètres, une entrée du même nom m'a été demandé d'être supprimée dans la réponse #9 de spode_90. 

J'ai vérifié les proxy IE et Firefox, rien à signaler.

Si je me souviens bien, lors du scan Avast en mode sans echec, il me semble qu'il m'a identifié ce .exe comme une menace avec le RootKit, la zone de quarantaine n'était pas disponible j'ai donc donné l'autorisation de supprimer, mais je ne suis pas certain du nom.

Maverick · Answer

Merci beaucoup, Internet est bien revenu, je vais faire la dernière manip qu'on m'a demandé et je poste le rapport dès que je l'ai.

Maverick · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijzkcR8ld.txt

Voici le rapport ComboFix.

Par contre je sais pas si c'est normal mais, après le scan ComboFix, je ne pouvais plus me connecter à Internet, j'ai reboot, même problème, j'ai du réitérer la procédure de Xplode en commentaire du message #23 pour le relancer..

spode_90 · Answer

comment va le pc ?
Excuse moi pour l erreur sur le registre mais j avais pas fini l explication ( je travaillais ce matin et à 1h30 du mat ...)

Maverick · Answer

Bien à priori, mais c'est comme d'habitude, seulement le RootKit zozmri.sys est toujours présent dans System32.

Pas de souci, je pense que la manip que j'ai faite me l'a remis définitivement en place, enfin j'espère parce que j'ai du la refaire. Je viens de poster mon rapport ComboFix, j'attends de voir ce que ça donne.

spode_90 · Answer

je serai toi je metterai antivir a la place d avast comme anti virus puis tu fais les mise a jour ensuite tudemarre en sans echec et tu fais une analyse

Xplode · Answer

@Maverick

Je te conseille d'attendre le retour de dédé et de ne plus suivre les informations que te donne spode_90.

A bon entendeur..

Maverick · Answer

Bon .. mais si vous commencez à vous contredire entre vous, je sais pas comment je vais me débarrasser de ça :s .

Xplode · Answer

Dédé saura t'aider ;-)

Je l'avancerais bien, puisque je sais ce qu'il faut faire ensuite, mais ca serait m'incruster dans le topic..

Maverick · Answer

Ok, c'est toi qui vois, je ne connais pas les règles que vous avez entre vous concernant l'aide à apporter, je ne sais pas si c'est mal vu de s'incruster dans l'apport d'un autre, mais si j'en crois les informations d'un ami, un RootKit vaut mieux s'en débarrasser au plus vite, et vu les efforts qu'on a déployé pour le supprimer avant que je demande de l'aide sur forum, celui-ci à l'air bien accroché à mon système, donc j'utiliserai mon pc en respirant une fois qu'il aura foutu le camp XD A titre personnel si ce que tu peux me dire m'avance dans cet objectif, je ne t'en voudrais pas ;)

Xplode · Answer

Re, pour avancer dédé :

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour Maverick /!\

[x] Copie le texte en gras ci dessous :


Driver::

zozmri

Registry::

[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{EE9A28C8-9DA8-45C6-AF1C874EA097A484}]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{E53B9382-5FFE-4C0F-9EF71363283761D6}]

File::

c:\users\Maverick\AppData\Local\Temp\CA27.tmp

NetSvc::

ngovcrou


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

Maverick · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cij8zoIPUP.txt

Voici le nouveau rapport de ComboFix.
Par contre dès que j'ai un reboot du pc comme ça a été le cas à la fin du scan ComboFix, je suis obligé de refaire la manip pour récupérer mon DHCP, sinon je n'ai pas accès à Internet, n'y a t-il pas moyen qu'elle reste une bonne fois pour toutes ?

P.S : Le fichier infecté par le RootKit, zozmri.sys, est toujours présent, mais sa date et heure de modification se mettait à jour chaque minutes avant, or maintenant, elle a l'air bloquée sur 19h18 ce jour. Un bon signe ? :)

Xplode · Answer

Re, 

Assez coriace la bestiole ;) 

-+-+-+-+-> CFScript <-+-+-+-+- 

/!\ Attention : Cette procédure n'est valable que pour Maverick /!\ 

[x] Copie le texte en gras ci dessous : 

 
Killall:: 
Snapshot:: 

File:: 

c:\windows\system32\drivers\zozmri.sys 

Driver:: 

zozmri 

NetSvc:: 

{EE9A28C8-9DA8-45C6-AF1C874EA097A484}   
{E53B9382-5FFE-4C0F-9EF71363283761D6} 

Registry:: 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]      
"lcbghgldgvshvxeoycmgTaskMgr"=- 

 

[x] Ouvre le bloc-note puis colle le texte ci dessus dedans. 

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ). 

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici. 

[x] Combofix va se lancer, patiente le temps du scan. 

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\ 

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse. 
Xplode - Contributeur sécurité.

Maverick · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cij0XQ3GtG.txt

Voici le nouveau rapport ComboFix, même problème que précédemment concernant la connexion internet et le DHCP ...

Mais le fichier zozmri.exe a disparu :D

Maverick · Answer

Voici le scan ZHPDiag :

https://www.cjoint.com/?gEviIJrxeb

Xplode · Answer

-+-+-+-+-> ZHPFix <-+-+-+-+- /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ [x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ". [x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok] [HKCU\Software\yhhhxnitkp] [HKLM\Software\Btqmwbmw] O44 - LFC:[MD5.D81C3E27278021C8850D1F9BD16C1BEB] - 27/06/2010 - 18:42:50 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\855628DE-2EA4-4821-99D7-F5ECF6561AAB.txt [1214] O64 - Services: CurCS - (.not file.) - {3035D5F4-5BEB-462A-A5DAD71A6FDD7BBF} ({3035D5F4-5BEB-462A-A5DAD71A6FDD7BBF}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3035D5F4-5BEB-462A-A5DAD71A6FDD7BBF} O64 - Services: CurCS - (.not file.) - {97344582-EEAE-4F8D-883AB568F41569A0} ({97344582-EEAE-4F8D-883AB568F41569A0}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{97344582-EEAE-4F8D-883AB568F41569A0} O64 - Services: CurCS - (.not file.) - {B1678BEA-F210-44DC-AE3CDC5E145E65B6} ({B1678BEA-F210-44DC-AE3CDC5E145E65B6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{B1678BEA-F210-44DC-AE3CDC5E145E65B6} R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.local R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:62402 O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe MBRFix [x] Clique maintenant sur [Tous] , puis sur [Nettoyer] [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message. [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt -+-+-+-+-> Load_TDSSKiller <-+-+-+-+- [x] Télécharge TDSSKiller sur ton bureau. [x] Décompresse le sur ton bureau. [x] Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) [x] Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir. [x] Copie/Colle son contenu dans ta prochaine réponse. [x] Note : Le rapport se trouve également sous C: dsskiller.txt. Xplode - Contributeur sécurité.

Maverick · Answer

Rapport de ZHPFix :

https://www.cjoint.com/?gEvCBjxctD

Pour TDSSKiller, la page n'existe plus :/

Maverick · Answer

Rapport de TDSSKiller :

https://www.cjoint.com/?gEvMXez0un

Xplode · Answer

C'est ok de ce côté là.
Tu peux le supprimer.

Refais maintenant un ZHPDiag

Maverick · Answer

Nouveau rapport ZHPDiag :

https://www.cjoint.com/?gEvWCU7Cea

Xplode · Answer

-+-+-+-+-> ZHPFix <-+-+-+-+- /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ [x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ". [x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok] O44 - LFC:[MD5.B10F96F50B10979C84B658D96CC1382D] - 30/06/2010 - 20:35:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.3.2.1_30.06.2010_21.35.37_log.txt [55794] O64 - Services: CurCS - (.not file.) - klmd23 (klmd23) .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD23 O42 - Logiciel: McAfee Security Scan Plus - (.McAfee, Inc..) [HKLM] [x] Clique maintenant sur [Tous] , puis sur [Nettoyer] [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message. [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt -+-+-+-+-> AD-Remover <-+-+-+-+- [x] Télécharge AD-Remover ( de C_XX ). [x] Lance AD-Remover puis choisis l'option " Nettoyer ". Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur " [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

Maverick · Answer

Déjà une bonne nouvelle : Aucun souci internet après le reboot auto de AD-Remover :)

Rapport de ZHPFix : https://www.cjoint.com/?gEwnpnO3qs

(Au cours de ce rapport, j'ai eu deux lancement automatiques, de désinstallation il me semble, pour IPhone et Mcafee, j'ai annulé ces deux, vu que ce n'était pas précisé dans les instructions, puis j'ai relancé un nettoyage avec le même copier/coller).

Rapport de AD-Remover : https://www.cjoint.com/?gEwqx1BwWd

Xplode · Answer

Ok, on finalise alors : -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java [o] Télécharge JavaRa puis décompresse le sur ton bureau. [o] Ouvre le dossier JavaRa puis exécute JavaRa.exe. [o] Clique sur "Search For Updates". [o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search". [o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. [o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". [o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". [o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. 2ème étape : Internet Explorer [x] Même si tu n'utilises pas Internet Explorer pour naviguer, il est important de le mettre à jour ! [o] Télécharge Internet Explorer 8 puis installe le. 3ème étape : Mise à jour du système Tu as vista SP1, il faut installer le SP2 : [o] Windows Vista SP2 Il est important de faire toutes les mises à jour windows update. 4ème étape : Mise à jour des logiciels [o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Maverick · Answer

Je vais faire tout ca, je pense que ca va prendre un peu de temps, je tiens donc à te remercier maintenant pour tout ce que tu m'as fait faire pour garder mon PC en sécurité et évacuer des problèmes très déplaisants, j'avoue que quand je suis venu demander, j'y croyais plus trop ^^ . Très bon boulot merci ;) !

dédétraqué · Answer

Salut Xplode


Merci d'être intervenu et pas de souci, on est tous là pour aider...


Salut Maverick


Je te donne quelques consignes de sécurité :

-  Windows Update  parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm : 
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d'infection (µTorrent, BitTorrent, eMule, Limewire, etc..)   https://forum.malekal.com/viewtopic.php?t=893&start=
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp 
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Bonne journée/soirée et bon surf   


@++  :)

Virus Win32:Qandr [Rtk] sur le pc

45 réponses

Discussions similaires

Newsletters