Apollo

Un tel dossier n'a rien à faire sur un bureau. Sa place serait plutôt dans Program Files, mais sans le voir j'ai difficile de me prononcer. Ne supprime rien à l'arrache, cela ne vaut jamais rien. Tu ne m'as pas répondu: quelle version as-tu d'Antivir? Regarde dans program Files si un tel dossier existe et compare-le à celui que tu as sur le bureau. S'il n'y en a pas du tout, il faudra que tu déplaces ce dossier là où il devrait se trouver: Program Files. Ne fais rien pour l'instant, je dois me renseigner car j'utilise un autre antivirus. @++

Le log est bon. Fais juste les vérifications pour Java, Adobe Reader et Flash Player ici: http://www.vista-xp.fr/forum/topic3405.html Fais les mises à jour si nécessaire, car un logiciel non-à-jour est synonyme de failles de sécurité. @++

Installe l'antispam s'il est compatible avec ton système. Il fonctionne avec Outlook Express et d'autres messageries; tu n'as qu'à: 1. Vérifier si ton carnet d'adresses ne contient rien de suspect. 2. Trier comme je le montre sur Vista-XP.fr en important ce carnet d'adresses dans Amis. Tu bloques tout ce que tu ne connais pas; tu peux également créer des règles de messages avec ce logiciel gratuit et efficace. C'est assez facile à utiliser. Si tu veux qu'on regarde si tu n'as pas d'infections: Télécharge HijackThisV2 sur ton bureau. Double-clique sur HJTInstall.exe et suis les instructions d'installation. --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile. A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite. Poste le rapport généré sur le forum. @++ PS: pour répondre utilise le bouton "répondre" qui est entre Flash et nouveau stp.

Si tu veux éviter cette infection: Ne jamais (ré)installer : # Live-Player (live-player.com) # Go-astro # GoRecord # HotTVPlayer # MailSkinner # Messenger Skinner # Instant Access # InternetGameBox # Sudoplanet # games-desktop.com # WebMediaplayer sauf celui du créateur Florian Delaunay -> http://www.azertysite.new.fr/ etc... @++

Bonjour, Ne réponds jamais à ce genre de mail, il ne faut même pas ouvrir quand c'est en anglais (sauf si tu as demandé des lettres d'infos dans cette langue). Même si c'est en français et que tu ne connais pas: Poubelle. Ignore, fous-le à la poubelle direct et/ou si tu n'as pas d'antispam, fais ça: Si tu veux un antispam: http://www.vista-xp.fr/forum/topic4395.html#p34587 @++

Re, 1) Double-clique sur le raccourci Navilog1 présent sur le bureau Laisse-toi guider. Au menu principal, choisis 2 et valide. Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes. Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt) NB: Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer et valide. Cela fera apparaître ton bureau. Poste ce rapport puis fais cette analyse: 2) Télécharge Malwarebytes' Anti-Malware (MBAM) Si le lien ne fonctionne pas, télécharger ICI Ce logiciel est à garder, il rendra encore de grands services! Uniquement en cas de problème de mise à jour: Télécharger mises à jour MBAM Mises à jour + récentes pour MBAM Exécute le fichier après l'installation de MBAM Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse. Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Si MBAM demande à redémarrer le pc, fais-le. !!! Ne pas vider la quarantaine de MBAM sans avis !!! Si redémarrage requis, poste un nouveau log Hijackthis après le reboot. @++

Bonjour, C'est la première fois que je lis ça... j'en sais rien du tout. Peux-tu me faire une capture d'écran de ce dossier que tu as ouvert (pas prudent d'ouvrir des choses inconnues) http://www.vista-xp.fr/forum/topic146.html Quelle version d'Antivir as-tu?

Bonjour, Télécharge navilog1 (de Il-mafioso) et enregistre-le sur le bureau. Ensuite double clique sur navilog1.bat et laisse-toi guider. Au menu principal, choisis 1 et valide. Ne fais pas le choix 2,3 ou 4 sans que je te le demande. Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. Copie-colle l'intégralité dans une réponse. Refermes le bloc-note. Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) @++

Salut, Gof Amusant: c'est Kaspersky qui donne la solution quand McAfee n'est pas disponible Pour désinstaller les produits McAfee: Lire la solution donnée par la FAQ de Kaspersky Lab @++

Merci pour le lien Pour que tu aies plus facile avec le CFScript.txt, je l'ai hébergé pour toi: http://senduit.com/21e804 Télécharge-le et enregistre-le sur le bureau (ne jamais exécuter des fichiers à partir du net). Tu peux alors glisser le fichier CFScript.txt sur l'icône de ComboFix comme ceci: Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message. @++

Non, le lien doit être copié sinon il est perdu Cela ne demande que queqlues secondes car ce n'est pas très lourd à héberger. C'est important dans la mesure où cela servira à peaufiner les outils de désinfection, donc à mieux vous aider et plus vite. Exemple: http://senduit.com/c9d7xx ne clique pas le lien c'est juste pour montrer ce que ça donne. @++

Re Héberge le dossier compressé sur le site senduit.com: - 1 - Clique sur Parcourir et recherche le fichier sur ton disque dur - 2 - Choisis le temps pendant lequel le fichier sera accessible (1 semaine) - 3 - Clique sur Upload Lorsque l'upload est terminé, un lien t'est retourné. Copie-colle le dans ta prochaine réponse (Clic droit sur le lien puis Copier. Clic droit dans le message privé puis Coller) C'est le lien généré (celui que tu vois ici en surbrillance) par Senduit que tu dois me faire parvenir. Avec un peu d'habitude, cela devient très facile @++

Bonjour, C'est sûrement un peu confus pour toi, mais j'ai rédigé cette procédure au plus vite car je n'avais pas encore cet outil dans l'arsenal; donc j'ai dû composer un peu. La précaution à prendre, c'est de débrancher le pc du net en retirant le câble de la tour. Cette infection est dûe à une faille non comblée dans Windows, de l'importance cruciale d'avoir son système parfaitement à jour. Après discussion avec un conseiller, il est essentiel de faire la manoeuvre pour tuer Kido avec les supports amovibles connectés (clé usb et autres qui se connectent par USB). Il faut donc employer la seconde manière que j'ai indiqué soit par la commande Démarrer/Exécuter/Parcourir/ chercher le fichier KK.exe dans le dossier KidoKiller et ajouter l'attribut -r en respectant un espace entre le guillemet de KK.exe" et -r comme sur ma capture d'écran. Il semblerait qu'il soit préférable de lancer cet outil en mode sans échec: Pour faire des analyses en mode sans echec faire comme suit: http://www.vista-xp.fr/forum/topic93.html Il est possible que cela ne fonctionne pas du premier coup, aussi, n'hésite pas à me faire part de tes difficultés si tu en rencontres. Je devrais peut-être renommer cet outil et l'héberger si tu avais des problèmes pour l'exécuter tel quel. @+tard.

Bonjour, Avant de liquider ces saletés, pourrais-tu me rendre service stp? Crée un nouveau dossier sur le bureau et nomme-le "Infected". Cherche ces fichiers: C:\g.e.exe c:\windows\system32\rjFbu.vbs c:\windows\system32\6R96S.vbs Un à un, depuis l'endroit où ils se trouvent, tu cliques à gauche sur Copier et dans la fenêtre qui s'ouvre, tu choisis le dossier que tu viens de créer. (pas déplacer surtout! la manoeuvre avec ComboFix ne fonctionnerait pas.) Cela va nous permettre de remonter des informations sur ces infections aux experts qui créent les outils de désinfection. Compresse ce dossier et héberge-le ici: http://www.senduit.com/ Augmente le délai de 30 min à 1 week stp. Donne-moi le lien par message privé ici sur zébulon. Merci. Supprime les deux dossiers, celui que tu as créé et le dossier compressé. Vide ta corbeille. ================== Une fois que tu m'auras donné le lien par message privé (si tu le veux bien), tu peux passer au nettoyage de ces affreux Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux! 1. Ferme tous les navigateurs ouverts. 2. Désactive provisoirement l'antivirus. --> connecte les supports amovibles! 2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix. 3. Ouvre le Bloc-notes et fais un copier/coller du texte situé dans la boîte Code ci-dessous dans le Bloc-notes: (sans le mot code)! File:: c:\windows\system32\scchost.exe c:\g.e.exe c:\windows\system32\rjFbu.vbs c:\windows\system32\6R96S.vbs c:\windows\system32\rundll82.exe Registry:: [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Hotfix-KB5504305"=- Enregistre le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message. @++

Pour Ask.com, si cela n'a pas marché avec les manipulations dans Firefox, tu peux essayer avec l'outil de désinstallation fourni par... Ask. Le fichier est sain, il a été analysé par un ami conseiller et moi-même. http://media.ask.com/media/toolbar/tools/A...archUtility.exe Enregistre le fichier sur le bureau, ferme tes navigateurs (même les messageries!) puis exécute-le. Redémarre le pc et vois si cela a réglé ton souci. Au pire, cela ne marchera pas, mais cela n'infectera pas ton pc. ==================================== Autre-chose: Je pense que ton pc est infecté par Kido IH. Crée un nouveau dossier sur le bureau et nomme le Kidokiller. Télécharges-y KidoKiller v3.4.7.zip Ouvre le dossier et décompresse-y le dossier compressé par clic droit/extraire ici. Débranche physiquement le pc du net (retire le câble). Double-clique sur KK.exe Patiente le temps de l'analyse. Presse sur une touche quand cela te sera demandé. NB: -> Si tu veux que l'outil analyse en même temps tes supports amovibles (clé usb et autres lecteurs), branche ceux-ci. Va dans le menu Démarrer/exécuter/Parcourir: rends-toi dans le dossier KidoKiller sur le bureau et sélectionne KK.exe. Dans la ligne de commande "exécuter" ajoute -r en respectant un écart entre kk.exe" et le -r Cela donne ceci: Clique alors sur Ok ou presse la touche Enter. http://support.kaspersky.com/wks6mp3/error?qid=208279973 ============= Après ça, mets Antivir à jour et lance une analyse complète y compris les supports amovibles (clés usb etc.) qui devront être toujours branchés. @++

C'est bien avec Firefox que ce phénomène se produit? Pas avec Explorer? Pour Firefox, essayer ceci: Essaie toujours ça et dis-moi ce que ça donne. ++

L'analyse que tu as faite avec MBAM, c'était une complète? Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. [*]Double-clique sur RSIT.exe afin de lancer RSIT. Sous VISTA: clic droit/exécuter en temps qu'administrateur. [*]Clique Continue à l'écran Disclaimer. [*]Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. [*]Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ++

C'est curieux parce que l'outil Toolbar S&D n'a rien montré et on ne voit pas de détournement de page d'accueil. On va bien voir même si c'est pour rien; on cherchera ailleurs. Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". --> Sous VISTA: clic droit Exécuter en temps qu'administrateur. Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu dans ta réponse. NB: Si ton Bureau ne réapparaissait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. @++

Rien de bien évident dans ce log. On va pousser l'analyse. On va faire pareil pour télécharger l'outil car on dirait que tu ne peux pas télécharger des outils de diagnosctic et d'analyses. Je te donne un lien et tu suis la procédure normalement; dis-moi si tu as réussi l'installation que je puisse supprimer le lien juste après stp. Télécharger MalwareBytes antimalware renommé en boum.exe ICI EDIT: lien supprimé./ et enregistre-le sur ton bureau. Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse. Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Si MBAM demande à redémarrer le pc, fais-le. !!! Ne pas vider la quarantaine de MBAM sans avis !!! Si redémarrage requis, poste un nouveau log Hijackthis après le reboot. @++

Re, Je l'ai renommé et hébergé ICI EDIT: lien supprimé. Réessaie de le l'enregistrer sur le bureau puis installe-le comme expliqué plus haut. Il n'y a que le nom de l'exécutable qui change, sinon c'est la même chose. Si cela ne marche pas, n'hésite pas à le dire @++

On dirait que ce n'est par La toolbar ASK. On va regarder plus large: Télécharge HijackThisV2 sur ton bureau. Double-clique sur HJTInstall.exe et suis les instructions d'installation. --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile. A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite. Poste le rapport généré sur le forum. @++

Ok, pense à faire la même chose avec ces deux-là: c:\windows\system32\rjFbu.vbs c:\windows\system32\6R96S.vbs @++

Oui, c'est bon comme analyse. Il y a un dossier qui reste de Norton/Symantec, il aura été mal désinstallé. Pour nettoyer les restes de Norton, utiliser cet outil et suivre les consignes: Remover Symantec/Norton Le pc devra sûrement être redémarré. =============== Je voudrais que tu fasses analyser quelques fichiers si tu les trouvais encore: Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\g.e.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Fais de même avec les fichiers suivants stp: c:\windows\system32\rjFbu.vbs c:\windows\system32\6R96S.vbs @+tard.

Bonjour, Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance l'installation du programme en exécutant le fichier téléchargé. Double-clique sur le raccourci de Toolbar-S&D. --> Sous VISTA: clic droit Exécuter en temps qu'administrateur. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt) @++

Bonjour, Cette analyse est une rapide; il faut faire une analyse complète. Sers-toi du tuto ici: http://www.vista-xp.fr/forum/topic4162.html#p32666 Poste le rapport, on aura une petite manipulation à faire avec ComboFix mais il faut préparer le script. On voit ça après le scan d'Antivir. Si tu n'as pas de firewall tiers, essaie au moins de réactiver celui de Windows via le panneau de configuration car là il est désactivé. C'est en bonne voie. @ tout à l'heure.