Mark

Bonsoir Sacles et Pianiste ; Je vois ce qui ressemble à une bestiole assez nouvelle et plutôt rare dans le rapport. On va creuser. Je constate également que tu as plusieurs antispywares qui tournent avec boucliers : - WinPatrol - Windows Defender - Malwarebytes' Anti-Malware (version payante avec boucliers) Ceci peut causer de gros conflits = problèmes sur ta machine. Un seul suffit. Je te conseille de garder Malwarebytes' Anti-Malware qui est bien supérieur aux autres ; désinstalle WinPatrol et Windows Defender. Et supprime ta version de HijackThis (obsolète). Fais une analyse avec la nouvelle version : http://www.trendsecure.com/portal/fr/tools...ckthis/download ..et poste le rapport ici, dans ta réponse. @++

Bonsoir Nicolas, tout le monde Des collègues et moi avons discuté récemment de ces clés, sur un forum lointain : [hklm\system\currentcontrolset\control\safeboot\network\nm] [hklm\system\currentcontrolset\control\safeboot\network\nm.sys] Elle sont vraisemblablement légitimes, quoiqu'il nous a été impossible d'en vérifier l'utilité ou la pertinence. Présentes par défaut sur XP SP2 mais pas toujours sur XP SP3. Là je constate qu'elles y sont sous SP1. Le peu d'info que j'ai trouvée me dit qu'il s'agit d'une appli réseau (nm = Network Monitoring) ; ces clés servant à charger pilote et Service (si présents) sous le mode Sans Échec avec prise en charge réseau, uniquement. J'ai effectivement les clés sur mon XP SP2, mais pas sur mon XP SP3. Bonne fin de soirée

Y a pas de quoi Malwarebytes' Anti-Malware semble avoir retiré le fichier des détections, ce qui explique qu'il n'a rien rien vu sur ton PC. Je vais en glisser un mot à Coolman Bon surf et prudence sur la toile, surtout. @+

Bonsoir Maupas Selon tous les rapports et les discussions que je viens de consulter : C:\WINDOWS\System32\drivers\lvuvc.hs ...n'est pas néfaste. Il s'agit d'un fichier vide (0 octet). Je ne peux cependant pas te dire comment et par quoi il est créé. L'extension .hs semble faire référence au langage de programmation Haskell. Tu peux le supprimer puisqu'il est vide donc inutile, mais tu ne risqueras rien si tu le laisses. Voilà...

Bonsoir David Heureux d'entendre que tout va bien Pour ce qui est de tes contacts qui semblent "infectés" : je te conseillerais plutôt de leur suggérer de venir sur le forum, car les outils de désinfection spécialisés nécessitent un suivi. Certains outils peuvent même être dangeureux si utilisés sans notre supervision étroite. Il faut réaliser que la majorité des infections chopées via MSN comportent une porte dérobée et ces dernières se cachent souvent derrière un rootkit, et d'autres infections peuvent rapidement s'ajouter au tableau. Pas simple tout ça... Conserve Malwarebytes' Anti-Malware et fait une analyse périodique ; ce dernier est bien supérieur à tous les autres "antispywares" en ce moment. Pour ton sujet, je te le mets en "Résolu". Tu pourrais le faire toi-même en éditant ton premier message (le titre), mais je t'épargne la manip Bon surf, prudence et vigileance sur la toile. @++

Bonjour David ; De toute évidence, MSNFix a tourné suffisamment pour renommer le fichier responsable ; MBAM l'a ensuite supprimé. Tout me semble Ok maintenant. Pour ce qui est des messages reçus : ce n'est pas ta machine qui est en faute, donc un contact. Si tu étais toujours infecté, c'est toi qui enverrais ces messages. Regarde ça aujourd'hui ; si ta machine n'envoie rien à tes contacts, ça devrait aller. Tiens-moi au courant @+

Bonsoir David ; je te souhaite la bienvenue sur Zébulon Il y a une ligne infectieuse dans le rapport, effectivement. Petit problème : tu as un Vista 64 bits et pratiquement aucuns de nos outils ne tournent sous ce système, MSNFix compris. Mais nous avons quelques armes qui tournent... Ces "(file missing)" en O23 signifie que HijackThis est incapable d'énumérer ces fichiers sous 64 bits, tout simplement. À l'attaque : ============ Fais un clic-droit sur le raccourci de HijackThis (si présent sur le Bureau) ou directement sur Hijackthis.exe et choisis "Exécuter en tant qu'administrateur" ; une fois lancé, clique "Do a system scan only", puis coche la ligne suivante : O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe Maintenant, ferme les fenêtres de navigateur ouvertes et clique le bouton "Fix checked". Ferme HijackThis. ~~~~~~~~~~~ Via l'Explorateur, recherche et supprime le fichier suivant, si présent : C:\Windows\fxstaller.exe << ~~~~~~~~~~~ Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. Poste le rapport de MBAM ici, avec un tout nouveau rapport HijackThis s'il te plaît. Merci et @+

Bonjour calderon Merci pour cette capture ! Je n'avais pas osé te la demander... C'est bien ce que je croyais, rien de grave du tout. Il s'agit d'un favicon (qui signifie "favorites icon" ou icône de favori). La majorité des sites web affichent ces favicons dans les navigateurs, pas juste sous IE7. L'icône apparaît bien dans la barre d'adresse et sur l'onglet également. Ce qui est un peu étrange dans ton cas : le favicon du Crédit Agricole ne devrait apparaître que lorsque tu surfes sur leur site. Je soupçonne donc un petit bug dans IE7, mais rien de grave. J'ai tenté ici de mettre ce favicon en allant sur leur homepage, mais je n'y arrive pas (sous Vista et avec IE7) ; j'ai donc essayé à nouveau sous XP, avec IE7, et toujours pas de favicon pour le CA. Je n'ai peut-être pas visité la même page que toi : http://www.credit-agricole.fr/ Étrange, j'utilise FireFox en ce moment et j'ai bien les deux favicons du CA (barre d'adresses + onglet). Bref, pas de problèmes de ton côté si ce n'est qu'un petit bug (temporaire ?) avec IE7. Je vais te faire vider tes fichiers temporaires, ce qui devrait résoudre ce problème, b'enfin je l'espère.. Merci pour le rapport de Kaspersky, qui s'est parfaitement affiché Rien de méchant là ; SmitfraudFix est détecté (faux positif) et ton prog de copie de DVD n'est pas très aimé de certains éditeurs d'antivirus, mais ce n'est pas un risque notable. ~~~~~~~~~~~~~~~ Ta machine Java n'est pas à jour et comporte certaines failles de sécurité ; nous allons donc la mettre à jour : Télécharge JavaRa.zip de Paul McLain et Fred de Vries. Décompresse le fichier sur ton bureau (clic droit > Extraire tout) Double-clique sur le répertoire JavaRa obtenu Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher) Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Select. Clique sur Search For Updates Sélectionne Update Using jucheck.exe puis clique sur Search Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. Un rapport va s'ouvrir ; tu peux le fermer pour l'instant. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log) Ferme l'application ~~~~~~~~~~~~~~~~ Si tout s'est bien déroulé, je vais te faire désinstaller ComboFix à présent : Cette manipulation désinstallera l'outil ainsi que tous les fichiers créés par ce dernier. Un nouveau point de Restau sera créé et les anciens seront supprimés. Voici comment procéder : - Clique le bouton "Démarrer" puis choisis "Exécuter..." - Copie/colle la ligne suivant dans la boîte puis clique "Ok" : Combofix /u - La désinstallation s'amorcera ; patiente quelques secondes. ~~~~~~~~~~~~~~~~ Tu peux conserver MBAM (Malwarebytes' Anti-Malware) en version gratuite, qui est d'ailleurs bien supérieur aux autres antispywares disponibles en ce moment (Ad-Aware, SpyBot, SUPERAntispyware, etc...). Tu n'auras pas les boucliers ni les MAJ automatiques (version payante seulement), mais tu pourras faire une analyse de façon périodique ; n'oublie pas de le mettre à jour à chaque fois par contre, en lançant le programme >> onglet "Mise à jour". Maintenant, voici comment supprimer tes fichiers temporaires (inutiles) ; cette manipulation peut être faite périodiquement : Télécharge ATF Cleaner par Atribune. Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. ~~~~~~~~~~~~~~~~~~~~~ Dis-nous comment tout ça s'est déroulé, et colle le rapport de JavaRa qui se trouve là >> C:\JavaRa.log Merci et @+

Tout d'abord, merci pour ta gentillesse Et merci aussi pour les rapports. BitDefender voit un cookie traceur, ce qui n'est pas dangeureux ; ces cookies s'installent lorsque tu surfes sur certains sites. Certains logiciels antivirus ou antispywares bondissent lorsqu'ils les détectent, mais il n'y a pas de quoi s'inquiéter. Il est possible de bloquer les cookies via le navigateur ou via un pare-feu également, mais cette opération peut faire en sorte que ces sites ne se chargeront plus et ça peut devenir embêtant pour toi. FaceBook, par exemple, installe ces cookies de BS.Serving-Sys Malwarebytes' Anti-Malware a détecté et supprimé un petit adware pas trop méchant. C'est donc l'outil de Microsoft qui semble t'avoir sauvé du monstre qui allait entrer. Quand je dis "allait entrer", ça signifie que l'infection n'était que partiellement installée et que le pire était à venir, mais tout cela est derrière toi maintenant.. Pour ce qui est de ce truc du crédit agricole, là, il va me falloir quelques détails supplémentaires : Le logo est-il dans la grande barre d'adresses, celle qui couvre quasiment la totalité du haut du navigateur ? ou bien dans la petite barre de recherche, située à droite de la barre d'adresse principale ? As-tu visité leur site récemment ? Pour terminer : as-tu essayé le scan en ligne de Kaspersky ? (voir mon message #7 ci-haut) ; j'aimerais seulement m'assurer que rien ne traîne derrière. Suite à cela, je te prescrirai le petit ménage final (rien de bien sorcier). @+

Y a pas de quoi Très heureux de constater que tout roule normalement. On fait du ménage maintenant : ============ 1) Tu peux supprimer l'outil SDFix, c'est-à-dire l'installateur SDFix.exe et ensuite le répertoire C:\SDFix 2) Pour la désinstallation de ComboFix à présent. Cette manipulation désinstallera l'outil ainsi que tous les fichiers créés par ce dernier. Un nouveau point de Restau sera créé et les anciens seront supprimés. Voici comment procéder : - Clique le bouton "Démarrer" puis choisis "Exécuter..." - Copie/colle la ligne suivant dans la boîte puis clique "Ok" : Combofix /u - La désinstallation s'amorcera ; patiente quelques secondes. ~~~~~~~~~~~~~~~~ Tu peux conserver MBAM (Malwarebytes' Anti-Malware) en version gratuite, qui est d'ailleurs bien supérieur aux autres antispywares disponibles en ce moment (Ad-Aware, SpyBot, SUPERAntispyware, etc...). Tu n'auras pas les boucliers ni les MAJ automatiques (version payante seulement), mais tu pourras faire une analyse de façon périodique ; n'oublie pas de le mettre à jour à chaque fois par contre, en lançant le programme >> onglet "Mise à jour". Tu peux également supprimer périodiquement les fichiers temporaires inutiles. Le petit outil suivant fait bien ce boulot : Télécharge ATF Cleaner par Atribune. Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. ~~~~~~~~~~~~~~~~~~~~~ Voilà, c'est complet je crois. Bon surf ! Pas de gêne si questions ; nous sommes là. @++

Bonjour calderon Désolé pour le petit délai de réponse. Je t'avais demandé de me coller le rapport précédent de Malwarebytes' Anti-Malware, mais ce n'est pas grave, finalement. Merci pour le rapport. Je vais néanmoins te demander de passer un scan en ligne, juste pour dépister d'éventuels restants : =============== En utilisant Internet Explorer, rends-toi ici : http://webscanner.kaspersky.fr/ - Clique sur "Démarrer Online-scanner" (au bas, à droite). - Accepte la licence. - Un contrôle ActiveX devra être installé, ainsi que des bases virales : tu devras accepter leur téléchargement et installation. - Clique "Suivant" lorsque complété. - Tu verras maintenant une page avec options de scan ; clique sur le bouton "Paramètres d'analyse" : >> Clique pour activer l'option "Étendue" (si disponible), puis clique "Ok". - De retour à la page des options de scan, choisis "Poste de travail" - L'analyse sera lancée, et peut durer un bon moment selon les performances du PC et la quantité de fichiers présents (de une à trois heures, possiblement). Fais autre chose durant le scan, mais pas avec le PC. - Lorsque l'analyse sera terminée, un rapport apparaîtra : >> Clique "Enregistrer rapport sous" >> Sous "Type:", choisis "Fichier texte (*.txt)" puis sauvegarde le rapport sur ton Bureau. Un tuto avec images ici : http://www.infos-du-net.com/forum/267224-1...ligne-kaspersky ============ ============ Dis-nous également comment se comporte le PC aujourd'hui. @+

Bonjour morlacus Bien joué. AntiVir n'a trouvé que des trucs en quarantaine et en Restau ; pas de problème, on dégagera. Mais d'abord, dis-nous comment se comporte IE aujourd'hui (consommation à l'UC) et si d'autres symptômes sont toujours présents. Merci et @+

Enfin me revoilà Ces détections de Norton proviennent de fichiers situés dans les points de restauration de Windows ; rien d'inquiétant tant que tu ne restaures pas le système à une date antérieure. Pas de soucis, on va faire une purge de la Restau très bientôt, mais jamais avant la fin d'une désinfection. Ton Norton me semble vieillot et n'a pas su te protéger de cette infection, alors je te propose de le désinstaller et d'en mettre un plus performant qui est gratuit. Si tu le désires, il existe d'excellents antivirus payants et je pourrais te parler de mes choix, mais le programme gratuit que je te propose est excellent, voir mieux niveau détections que certaines solutions payantes. Il s'agit d'AntiVir (par Avira). Je te laisse un lien en fin de message ; n'oublie pas de désinstaller Norton complètement avant d'installer le nouveau. IE qui tourne à 80% : cela peut être normal, ou pas. Si tu n'as qu'un seul onglet en fonction, sur une page toute simple telle Google par exemple, IE ne devrait pas pomper 80% de l'UC. Si 3-4 onglets sont ouverts, ça devient possible, quoique l'utilisation de l'UC devrait fluctuer à la baisse quand tout est stable. Lorsque cette infection était active, elle utilisait iexplore.exe sans même lancer le navigateur ; tu peux aisément vérifier si ce phénomène se produit toujours, en fermant IE puis en regardant dans le Gestionnaire des Tâches. ============= Je vais maintenant te demander de repasser l'outil SDFix, en mode Sans Échec. Poste son rapport ici lorsque complété. Ce dernier s'affichera à l'écran, mais tu le trouveras également dans le dossier SDfix >> C:\SDfix\Report.txt Voici un lien pour AntiVir, version Personal Edition (gratuit) : http://www.download.com/Avira-AntiVir-Pers...&tag=button Installe-le puis fais une analyse complète. Tu peux coller son rapport ici, pour vérification. Il ne restera qu'un peu de ménage à faire par la suite @+

Voilà qui est excellent ; bien joué Je te fais passer un autre outil, plus généraliste celui-là : ======================== Télécharge Malwarebytes' Anti-Malware du lien suivant : http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html Installe-le puis lance-le De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ; Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse sera lancée ; Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affichera. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse. J'aimerais également que tu me confirmes que Norton Antivirus tourne sur ta machine en ce moment et, si oui, de quelle version s'agit-il et est-il à jour ? Merci @+

Bon alors je m'occupe de poster le rapport (merci) : ================ ComboFix 08-11-28.02 - milard fabrice 2008-11-29 4:52:15.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.170 [GMT 1:00] Lancé depuis: c:\documents and settings\milard fabrice\Bureau\ComboFix.exe * Resident AV is active . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Downloaded Program Files\ODCTOOLS c:\windows\system32\UTSCSI.EXE . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-28 au 2008-11-29 )))))))))))))))))))))))))))))))))))) . 2008-11-29 00:17 . 2008-11-29 00:17 <REP> d-------- c:\program files\Trend Micro 2008-11-27 16:33 . 2008-11-28 06:11 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP 2008-11-27 16:32 . 2008-11-27 16:32 <REP> d-------- c:\program files\Trojan Remover 2008-11-27 16:32 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll 2008-11-27 16:32 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll 2008-11-27 16:32 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll 2008-11-27 16:32 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll 2008-11-27 16:32 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll 2008-11-24 09:04 . 2008-11-24 09:04 <REP> d-------- c:\documents and settings\milard fabrice\Application Data\Windows Search 2008-11-24 08:59 . 2008-11-24 08:59 <REP> d-------- c:\program files\Microsoft Silverlight 2008-11-24 08:57 . 2008-11-24 08:57 <REP> d-------- c:\windows\system32\GroupPolicy 2008-11-24 08:57 . 2008-11-24 20:57 <REP> d-------- c:\program files\Windows Desktop Search 2008-11-24 08:55 . 2008-03-07 18:02 192,000 -----c--- c:\windows\system32\dllcache\offfilt.dll 2008-11-24 08:55 . 2008-03-07 18:02 98,304 -----c--- c:\windows\system32\dllcache\nlhtml.dll 2008-11-24 08:55 . 2008-03-07 18:02 29,696 -----c--- c:\windows\system32\dllcache\mimefilt.dll 2008-11-24 08:53 . 2008-11-24 08:53 <REP> d-------- c:\program files\Windows Media Connect 2 2008-11-24 05:28 . 2008-11-24 05:28 <REP> d-------- C:\086ca288f2106491b9 2008-11-24 03:10 . 2008-11-29 04:58 121 --a------ c:\windows\bdagent.INI 2008-11-24 00:53 . 2007-06-25 10:43 98,344 -ra------ c:\windows\system32\drivers\s117obex.sys 2008-11-24 00:47 . 2007-06-25 10:43 22,952 -ra------ c:\windows\system32\drivers\s117nd5.sys 2008-11-24 00:43 . 2007-06-25 10:43 98,856 -ra------ c:\windows\system32\drivers\s117unic.sys 2008-11-24 00:43 . 2007-06-25 10:43 10,792 -ra------ c:\windows\system32\drivers\s117cr.sys 2008-11-24 00:39 . 2007-06-25 10:43 100,264 -ra------ c:\windows\system32\drivers\s117mgmt.sys 2008-11-24 00:36 . 2007-06-25 10:43 108,456 -ra------ c:\windows\system32\drivers\s117mdm.sys 2008-11-24 00:36 . 2007-06-25 10:43 14,888 -ra------ c:\windows\system32\drivers\s117mdfl.sys 2008-11-24 00:36 . 2007-06-25 10:43 12,200 -ra------ c:\windows\system32\drivers\s117cmnt.sys 2008-11-24 00:36 . 2007-06-25 10:43 12,200 -ra------ c:\windows\system32\drivers\s117cm.sys 2008-11-24 00:34 . 2007-06-25 10:43 82,984 -ra------ c:\windows\system32\drivers\s117bus.sys 2008-11-24 00:34 . 2007-06-25 10:43 12,200 -ra------ c:\windows\system32\drivers\s117whnt.sys 2008-11-24 00:34 . 2007-06-25 10:43 12,200 -ra------ c:\windows\system32\drivers\s117wh.sys 2008-11-23 18:24 . 2008-11-24 00:44 <REP> d-------- c:\windows\system32\drivers\UMDF 2008-11-23 18:24 . 2008-11-24 20:46 1,393 --a------ c:\windows\imsins.BAK 2008-11-23 17:26 . 2008-11-23 17:26 850 --a------ c:\windows\system32\ProductTweaks.xml 2008-11-23 17:26 . 2008-11-23 17:26 385 --a------ c:\windows\system32\user_gensett.xml 2008-11-23 17:14 . 2008-11-23 17:14 <REP> d-------- c:\documents and settings\milard fabrice\Application Data\BitDefender 2008-11-23 17:12 . 2008-11-23 17:12 <REP> d-------- c:\program files\BitDefender 2008-11-23 17:12 . 2008-11-23 17:17 <REP> d-------- c:\documents and settings\All Users\Application Data\BitDefender 2008-11-23 17:10 . 2008-11-23 17:14 <REP> d-------- c:\program files\Fichiers communs\BitDefender 2008-11-23 16:55 . 2008-11-23 18:24 <REP> d-------- c:\windows\system32\LogFiles 2008-11-20 21:11 . 2008-11-20 21:11 <REP> d-------- c:\documents and settings\milard fabrice\Bluetooth Software 2008-11-20 21:09 . 2008-04-14 04:05 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys 2008-11-20 21:09 . 2008-04-14 04:05 14,720 --a--c--- c:\windows\system32\dllcache\kbdhid.sys 2008-11-20 21:01 . 2008-11-20 21:01 <REP> d-------- c:\program files\WIDCOMM 2008-11-20 15:00 . 2008-11-20 15:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft 2008-11-20 14:58 . 2008-11-20 14:58 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2008-11-19 01:39 . 2008-11-19 01:41 <REP> d-------- c:\program files\QuickTime 2008-11-19 01:37 . 2008-11-19 01:37 <REP> d-------- c:\program files\Apple Software Update 2008-11-19 01:37 . 2008-11-19 01:37 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple 2008-11-12 15:28 . 2008-11-12 15:28 <REP> d-------- c:\documents and settings\milard fabrice\Application Data\Malwarebytes 2008-11-12 15:28 . 2008-11-12 15:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-12 08:16 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-12 08:14 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll 2008-11-08 07:43 . 2002-11-02 09:53 57,344 --a------ c:\windows\system32\WNASPINT.DLL 2008-11-08 07:30 . 2008-11-08 07:30 <REP> d-------- C:\eJay 2008-10-30 14:53 . 2008-11-24 21:07 <REP> d-------- c:\documents and settings\milard fabrice\Application Data\CopyToDvd . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-28 22:52 --------- d-----w c:\program files\VSO 2008-11-28 20:31 --------- d-----w c:\program files\eMule 2008-11-28 20:00 4,806 ----a-w c:\documents and settings\milard fabrice\Application Data\wklnhst.dat 2008-11-28 06:03 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-27 16:14 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-11-24 20:07 --------- d-----w c:\documents and settings\milard fabrice\Application Data\Vso 2008-11-24 02:06 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-23 15:53 81,984 ----a-w c:\windows\system32\bdod.bin 2008-11-20 14:01 --------- d-----w c:\program files\Lavasoft 2008-11-20 14:01 --------- d-----w c:\documents and settings\milard fabrice\Application Data\Lavasoft 2008-11-19 00:38 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer 2008-11-08 06:30 --------- d--h--w c:\program files\InstallShield Installation Information 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-21 22:58 --------- d-----w c:\program files\AxBx 2008-10-21 18:48 --------- d-----w c:\documents and settings\milard fabrice\Application Data\360desktop 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-09 14:31 192,512 ----a-w c:\windows\system32\txmlutil.dll 2008-10-02 19:52 3,534 ----a-w c:\windows\system32\tmp.reg 2008-10-01 13:51 87,552 ----a-w c:\windows\system32\VACFix.exe 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll 2008-09-08 21:38 88,576 ----a-w c:\windows\system32\AntiXPVSTFix.exe 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-04-12 13:29 87,608 ----a-w c:\documents and settings\milard fabrice\Application Data\ezpinst.exe 2008-04-12 13:29 47,360 ----a-w c:\documents and settings\milard fabrice\Application Data\pcouffin.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Wallpaper"="c:\program files\Wallpaper\Wallpaper.exe" [2007-08-21 233472] "EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-11 339968] "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-02-17 233534] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2004-10-13 278528] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720] "eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-01 794624] "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "EPSON Stylus CX3600 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE" [2004-03-04 98304] "ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184] "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-08-01 185896] "Memoire"="c:\program files\Mémoire\Memoire.exe" [2007-03-24 102400] "BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2008-10-30 741376] "BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2008-10-17 69632] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-06-07 553021] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\eMule\\emule.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Documents and Settings\\milard fabrice\\Mes documents\\BitTorrent\\bittorrent.exe"= "c:\\Program Files\\BitTorrent_DNA\\dna.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= "c:\\Program Files\\Mozilla Firefox\\firefox.exe"= R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-09-18 111112] R3 HSFHWATI;HSFHWATI;c:\windows\system32\DRIVERS\HSFHWATI.sys [2008-04-12 200192] S3 Arrakis3;BitDefender Arrakis Server;"c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe" [2008-07-17 118784] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bdx REG_MULTI_SZ scan . Contenu du dossier 'Tâches planifiées' 2008-11-19 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57] . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe HKCU-Run-360desktop - c:\program files\360desktop\360desktop.exe . ------- Examen supplémentaire ------- . FireFox -: Profile - c:\documents and settings\milard fabrice\Application Data\Mozilla\Firefox\Profiles\ml18u2gq.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-29 05:01:46 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????8?5?3?4??????? ???B?????????????hLC? ?????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(712) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\program files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe c:\program files\BitDefender\BitDefender 2009\vsserv.exe c:\windows\system32\ati2evxx.exe c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\program files\iPod\bin\iPodService.exe c:\program files\HPQ\shared\hpqwmi.exe c:\program files\BitDefender\BitDefender 2009\seccenter.exe . ************************************************************************** . Heure de fin: 2008-11-29 5:13:49 - La machine a redémarré ComboFix-quarantined-files.txt 2008-11-29 04:13:31 Avant-CF: 36 835 926 016 octets libres Après-CF: 36,782,510,080 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect 213 --- E O F --- 2008-11-24 19:37:20 =================== =================== Ça me semble pas mal du tout. Peux-tu me dire si l'outil de détection de logiciels malveillants de Microsoft a pu désinfecter ta machine suite à cette détection ? Je trouve ça curieux que ComboFix ne la montre pas, d'où ma question. Si l'outil a réussi ce coup-là, ça signifie que tu as eu de la veine... Je constate également que tu as passé Malwarebyte's Anti-Malware. J'aimerais bien consulter son rapport le plus récent ; tu le trouveras de cette façon : - Lance Malwarebytes' Anti-Malware en double-cliquant son icône qui se trouve sur le Bureau - Clique sur l'onglet "Rapports/Logs" - Double-clique sur le rapport qui se trouve au haut de la liste (le plus récent) ; un fichier texte apparaîtra - Copie/colle le contenu de ce rapport ici, dans ta prochaine réponse. De plus, dis-moi si les problèmes persistent. Merci @++

Bonsoir (jour) calderon ; je te souhaite la bienvenue sur Zébulon D'abord, consulte ta messagerie s'il te plaît. Ensuite... Télécharge Combofix.exe de sUBs et sauvegarde le sur ton Bureau (et pas ailleurs). Assure-toi que tous les programmes sont fermés avant de commencer. Double-clique sur Combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le Bureau disparaîtra, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide. Tu auras une alerte qu'une activité de rootkit a été détectée et que l'outil doit redémarrer l'ordi : accepte. Le nettoyage se poursuivra suite au redémarrage. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt @+

Ok, voici la suite : ============= Télécharge Combofix.exe de sUBs et sauvegarde le sur ton Bureau (et pas ailleurs). Assure-toi que tous les programmes sont fermés avant de commencer. Double-clique sur Combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le Bureau disparaîtra, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide. Tu auras une alerte qu'une activité de rootkit a été détectée et que l'outil doit redémarrer l'ordi : accepte. Le nettoyage se poursuivra suite au redémarrage. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt @+

Merci pour ces rapports C'est ce que je pensais ; infection plutôt vicieuse celle-là. Ne fait rien pour l'instant et je vais repasser d'ici peu pour la suite. Fais-moi plaisir par contre et lance le Bloc-notes (nouveau fichier ou un fichier existant, peu importe), clique sur le menu "Format" puis décoche "Retour automatique à la ligne". Ferme le fichier sans l'enregistrer ; ça aidera pour la lisibilité dans le futur. @ tout de suite

Je te souhaite la bienvenue sur Zébulon Je ne passe qu'en coup de vent mais je vais te demander de copier/coller un tout nouveau rapport HijackThis s'il te plaît ; ça nous donnera un point de départ. Copie/colle également le rapport de l'outil SDFix, qui se trouve habituellement là, dans le dossier SDFix >> C:\SDFix\Report.txt @+

Bonjour Apollo et Tinky ; Permettez-moi ce petit commentaire, au passage : Vu la présence du répertoire suivant : C:\WINDOWS\system32\drivers\down\ ..et du fichier : C:\WINDOWS\system32\drivers\hldrrr.exe (vus dans le rapport de ComboFix) >> Cela indique la présence d'une ancienne variante de Bagle et non la plus récente. Vu la quantité impressionnante de fichiers supprimés, il est clair que ta machine était infectée depuis un bon bout de temps. Que fait une infection Bagle ? Elle permet à son créateur de contrôler la machine à distance par l'intermédiaire d'un Botnet. En gros, ton ordi était "Zombie" et faisait partie d'un réseau très bien structuré de PC infectés (plusieurs centaines de milliers). Ce réseau permet à ses propriétaires de - 1) Envoyer du spam (Viagra, etc...), ou 2) Attaquer des sites ciblés (souvent de sécurité) ou 3) créer un grand serveur fragmenté qui envoie des cracks infectés. Tout cela sans que l'utilisateur ne le sache, généralement, car les protections sont détruites et l'intrus bosse en silence. Tout cela causé par un crack infecté et/ou une clé USB infectée (ou autre type de lecteur amovible). Un PC dit "Zombie" est une menace réelle pour nous tous, surfeurs de la toile, peu importe où que nous soyons. À méditer. Sérieusement. Beau travail vous deux, et bonne continuation

Y a pas de quoi Pour SpyBot, merci de m'y refaire penser. Je veux dire que j'allais oublier ceci : Tu as une version qui date... donc le moment est parfait pour virer celle que tu as, puis de mettre la nouvelle (la 1.6.0) d'ici : http://www.safer-networking.org/fr/download/index.html Perso, le Tea Timer je n'aime pas... trop invasif et pas assez performant. Pour les autres protections (y compris vaccination), ça va. ~~~~~~~~~~~~~~~ Il est vrai que pour passer de Vista Home à Business, tu devrais formater. B'enfin je crois. Pour ce qui est de la RAM : 2 Gigs, c'est un peu juste. Tu pourrais lancer une machine virutelle, mais si tu bosses sur la machine hôte en même temps, ça va vite swapper et là... tout sera lent. N'oublions pas que Vista 32 Bits (toutes versions) ne peut faire rouler que 3,2 Gigs de RAM, alors qu'en 64 Bits ça grimpe à 8 Gigs je crois. Si tu as une autre machine avec XP (Pro de préférence), tu peux mettre VMWare Server sur celle-là pour créer tes machines virtuelles. Sur ta Vista Home, tu mets VMware Player et ensuite, tu lances les machines virtuelles de ton Vista, en réseau avec l'autre. Moi j'ai XP et Vista sur la même machine alors ça roule. L'avenir est aux 64 Bits, alors si jamais tu veux installer un autre OS... @+

Bonjour Oui il tourne bien sous XP Pro, quoiqu'il s'agisse d'un programme assez lourd, qui bouffe pas mal de ressources. Idéalement, il te faut une machine assez puissante sinon ce sera lent même sous XP. J'ai lu que VMWare Server tourne mieux sous Vista Business ou Ultimate, mais moi j'ai Home Premium ici alors je ne peux confirmer. Par contre, j'utilise VMWare Player sur mon Vista Home et lui tourne très bien. Mais comme tu dois le savoir, la version Player ne peut pas créer de machines virtuelles, seulement les exécuter. De plus, les deux versions ne peuvent être installées sur une même partition Pour Vista (machine hôte), quelques collègues me disent que Virtual PC (de Microsoft) fonctionne très bien. Sur le site de Microsoft, on y mentionne qu'il faut également une version Pro de Vista (Business, Ultimate ou Entreprise) mais là je ne pourrais te confirmer si ça tourne sous Home... Fais quelques recherches (Goolge) ; ça pourrait être révélateur. Il y a VirtualBox aussi, qui semble tourner sous toutes versions de Vista, mais je ne le connais pas... http://www.virtualbox.org/ Dernier point : si tu veux exécuter une machine virtuelle Vista, il te faut beaucoup de RAM sur ta bécane... 3 ou 4 Gigs. Avec 2 Gigs ça fonctionne mais c'est très lent ============== Petit ménage final maintenant : - Tu peux supprimer l'outil RSIT.exe (du Bureau), ainsi que le dossier >> C:\rsit << - Tu peux conserver - ou supprimer HijackThis. Pour supprimer, vire le dossier >> C:\Programmes\Trend Micro << ~~~~~~~~~~~~~ Voilà. Fais les MAJ pour ton système d'exploitation et ton antivirus régulièrement (en automatique, c'est mieux). Évite le Peer-to-peer, les cracks et fais gaffe aux messages piégés (pièces jointes non sollicitées, liens accrocheurs, etc...). Dans ton cas, surveille les machines sur lesquelles tu branches tes clés USB ; passe un scan antivirus au préalable et teste la machine avant de brancher quoique ce soit dessus, pour voir s'il y a symptômes d'infection. Si questions ou commentaires, pas de gêne @++

Bonjour Alors je suis désolé car j'ai très peu de temps libres. Mais ne t'inquiète plus pour les infections car elles ont été éliminées. Je devrai repasser plus tard dans la journée (peut-être durant la nuit) pour te donner les petites touches de finition. Merci d'avoir vérifié pour le Centre de Sécurité ; je vois quelques données dans le registre qui sont contradictoires et je ne peux pas reproduire ça chez moi, mais ça c'est mon problème, pas le tien, et je vais m'y pencher lorsque j'aurai un peu de temps. Peu importe, si tout semble être activé chez toi, c'est l'essentiel. Tiens, t'as installé VMWare Server ? Intéressant... Il tourne bien sous Vista ? Certains ont des problèmes semble-t-il... de grosses lenteurs système - jusqu'au gel complet. Pour d'autres, pas de soucis. Moi je n'ai pris aucuns risques et je l'ai mis sous XP. Bon alors je repasse plus tard, ou demain. @bientôt,

Bon Lundi Ok pour Registry Booster : il ne resterait donc qu'une valeur de registre orpheline. On va s'en occuper. Et Bravo pour AntiVir (sans que je te le demande ) Pour le petit nettoyage maintenant : ========== Va dans le Panneau de Configuration >> "Programmes et Fonctionnalités" ; - Clique une fois sur Navilog1, puis clique sur "Désinstaller" (au haut). Clique maintenant sur la flèche "retour" (au haut à gauche) afin de revenir au Panneau de Config. De là, double-clique sur "Options Internet" ; - Choisis l'onglet "Contenu" >> clique sur "Certificats" ; - Avec les petites flèches de défilement (au haut à droite), rends-toi à l'onglet "Éditeurs approuvés" et sélectionne-le ; - Dans la liste, cherche et supprime les éditeurs suivants : Egroup Electronic-Group OOO-Favorit - Quitte le Panneau de Config lorsque terminé. ~~~~~~~~~~~~~ Tu dois maintenant désactiver le Tea Timer de SpyBot, qui gêne nos efforts de nettoyage. Voici comment : Lance Spybot>> "Mode avancé" >> "Outils" >> "Résident" et décoche TeaTimer. Ferme le programme. Tu pourras le réactiver à la fin des procédures. ~~~~~~~~~~~~~ Fais un clic droit sur le bouton Vista (connu aussi sous le nom de bouton "Démarrer") et choisis "Explorer" ; - Dans l'Explorateur, recherche et supprime >> C:\Programmes\Navilog1 << ce dossier De l'Explorateur toutjours, recherche (mais ne supprime pas) >> C:\Programmes\Trend Micro\HijackThis - Dans ce dossier, fais un clic droit sur le fichier HijackThis (détective en rouge avec loupe) puis choisis "Exécuter en tant qu'administrateur" - Choisis maintenant "Do a system scan only", puis coche les lignes suivantes : -------------- O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKCU\..\Run: [RegistryBooster 2 d’Uniblue ] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe O4 - HKCU\..\Run: [akcyoys] c:\users\sofia\appdata\local\akcyoys.exe akcyoys -------------- Ferme tes fenêtres de navigateurs, puis clique le bouton "Fix checked". Ferme HijackThis. ~~~~~~~~~~~~~~~~~ Clique sur le bouton Vista >> "Tous les programmes" >> "Accessoires" >> "Exécuter" ; copie/colle la ligne suivante dans la boîte puis clique "Ok" : ComboFix /u - Un message apparaîtra lorsque l'opération sera terminée (cela prend moins d'une minute). >> Ceci va désinstaller ComboFix et tous ses composants. De plus, un nouveau point de Restauration sera créé et les anciens seront supprimés. Redémarre le PC. === Je constate que l'UAC semble être désactivé en permanence ? J'espère que ce n'est pas le cas... Si oui, je te suggère fortement de le réactiver. L'UAC aurait probablement pu prévenir ces infections... Tu as également désactivé les alertes du Centre de Sécurité. Bref, tu ne permets pas à Vista de te protéger. À méditer. === === Retourne dans le répertoire suivant, via l'Explorateur : C:\Programmes\Trend Micro\HijackThis ..et double-clique sur le fichier "HijackThis" - Clique "Do a system scan and save a logfile" - Copie/colle le rapport ici, dans ta réponse. - Dis-moi comment se comporte le PC à présent. @++

Bon me revoilà.. Merci pour le rapport d'analyse. Ce fichier est Ok. Je croyais qu'il s'agissait d'un installateur Symantec, mais une collègue m'a confirmé qu'il s'agit plutôt d'une mise à jour pour une webcam. Les trois détections (sur 36) sont de faux positifs ; ces trois scanneurs se butent au packer du fichier qui semble malicieux, mais ne l'est pas. ~~~~~~~~~~~ Pour ce qui est des signes d'infections dans les rapports : je peux te les montrer, mais ça ne te dira pas grand chose... Il faut un peu d'expérience avec les outils et les bestioles pour comprendre tout ça. Mais tu as demandé et je peux te les montrer : O4 - HKCU\..\Run: [akcyoys] c:\users\sofia\appdata\local\akcyoys.exe akcyoys (C'est Navipromo. Une recherche sur le fichier ne donne rien, puisqu'il est nommé aléatoirement). [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{04224c79-74db-11dc-a904-001b244a19d5}] shell\AutoRun\command - RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe shell\open\command - RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autorunme.exe (Ici, l'infection par lecteur amovible.) Et ComboFix en a dégagé une autre : un faux utilitaire nommé Spyware-Secure Voilà... === Je vois que tu utilises RegistryBooster 2 (d’Uniblue). Je te fais une mise en garde quant aux nettoyeurs/optimiseurs de registre : ile peuvent causer des dégâts... point barre. Aucun n'est 100% sécuritaire et peux virer des clés légitimes, ou bien briser des associations nécessaires au fonctionnement de certains programmes. Je te conseille fortement d'éviter ces programmes... Il te reste des traces de Norton/Symantec. Je te conseille de passer l'outil de désinstallation officiel que tu trouveras ici (le #1) : http://service1.symantec.com/SUPPORT/INTER...c3?OpenDocument Suite à cela, j'aimerais voir un tout nouveau rapport HijackThis. On terminera selon ce qu'il nous montre. @bientôt