Gof

Bonsoir peio64 Charles Ingals est parti en vacances, on va continuer ensemble si tu le veux bien. Il a eu le coup d'oeil, il y a bien des restes de Kaspersky sur le système. Où en es-tu de tes soucis ? Tu dis dans tes premiers posts avoir formaté il y a peu ; as tu bien réinstallé tous tes pilotes ? Notamment celui de la carte graphique qui ne semble apparaitre nulle part ?

Bonsoir Berkos1220 Ton souci peut être d'ordre hardware (matériel). Dans le doute, je te recommande vivement de sauvegarder les documents auxquels tu tiens sur un autre support (cd, disque dur externe, etc). Evite une autre partition sur le même disque, on ne sait jamais. Lorsque tu auras réalisé tes sauvegardes, reposte ici que l'on essaie de voir de quoi il s'agit. EDIT : ton rapport hijackthis est étrangement court. Qu'as tu fait comme manipulation de ton côté ?

Ok, tiens nous au courant.

2 questions pour essayer de te sortir de la. Manifestement tu as un deuxième pc duquel tu écris en ce moment, oui ? Possèdes tu le cd windows ou s'agit-il d'un système préinstallé (OEM) ?

Cela n'est pas certain. Elle est activée par défaut justement, et il te faut la désactiver si tu souhaites qu'elle le soit. Si cela ne te dit rien, elle devait être active. Essaye cette méthode : [*]Choisis ton compte usuel, et non Administrateur. [*]Saisie des lignes pour exécuter l'utilitaire de restauration système windows. 1ère méthode : saisis chacune des lignes ci-dessous et valide chacune d'elles par la touche [Entrée]: cd c:\ cd windows cd system32 cd restore rstrui.exe La fenêtre de l'utilitaire windows de restauration système s'ouvre, tu n'as plus qu'à suivre les instructions pour restaurer à une date antérieure à ton problème. [*]2ème méthode : saisis la ligne ci-dessous et valide par la touche [Entrée]: %windir%\system32\restore\rstrui.exe La fenêtre de l'utilitaire windows de restauration système s'ouvre, tu n'as plus qu'à suivre les instructions pour restaurer à une date antérieure à ton problème. Si cela fonctionne, cela ne résoudra probablement pas tes soucis infectieux, mais cela te permettra peut-être au moins de redémarrer.

Bonsoir Swann13 Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email Bon, pas facile quand ça arrive cela. As-tu accès au Panneau du choix de démarrage avec "Démarrer avec la dernière bonne configuration" ou un texte s'y rapprochant ? Peux tu me dire si ta restauration système était activée ?

Re Bon. Précise moi quelques petites choses. Quel est ton Founisseur d'accès ? Comment es tu connecté ? A quoi ?

Bonsoir tymarsouin Je suis navré pour toi. Que contient le répertoire C:\avenger ? Que contient le sous-répertoire Backup ? Où est-il ? Tout semble avoir été supprimé dans la manipulation : Folder I:\Film\guerre\Nouveau dossier deleted successfully. Folder I:\Film\guerre deleted successfully. Folder I:\Film deleted successfully. S'agit-il toujours de ce dossier : I:\Film\guerre\Nouveau dossier ?

Re, Relance un scan HijackThis Clique sur Do a system scan only et coche les lignes ci-dessous : O2 - BHO: (no name) - {67bd4290-1dd2-11b2-adbf-c1cab77e6f46} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {cc2c1f72-1dd1-11b2-be70-ca8667d831d7} - (no file) O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) Ferme toutes les fenêtres sauf HijackThis et Fix Checked. Rends toi dans ton menu démarrer>panneau de configuration>Ajout/Suppression de programmes et désinstalle : hijackthis Navilog1 Rends toi sur les emplacements indiqués et Supprime Combofix.exe et le répertoire C:\ComboFix ainsi que les fichiers C:\ComboFix(*).txt et C:\ComboFix-quarantined-files.txt et CFScript.txt. (sur ton bureau ce dernier). Supprime ELIBAGLA et le rapport généré par l'outil C:\InfoSat.txt Supprime MSNFIX (le répertoire et le zip) Supprime C:\fixnavi.txt Supprime Smitfraudfix (le répertoire et le zip) Supprime ce répertoire : C:\Program Files\Everest Poker Supprime recherchealea.exe Je t'ai fait installer AVG AS : je te conseille de le conserver, tu perdras la gratuité du résident au bout de 30 jours, mais tu pourras continuer à le mettre à jour et à effectuer des analyses en mode sans échec. Sinon, tu peux le désinstaller via le panneau de configuration>Ajout/Suppression de programmes. Pense à vider la quarantaine, que tu le gardes ou non. Je t'ai fait télécharger Atf-cleaner.exe, je te conseille de le conserver pour nettoyer tes répertoires temporaires, caches et cookies suite à un surf. Sinon, tu peux le supprimer directement. Je t'avais fait faire ceci pour avoir accès à tous les fichiers => Je te conseille de laisser cette option d'affichage, car cela te permet de voir réellement ce que tu as sur ton disque. Cependant, il faut faire très attention à ne pas effacer inconsidérément un fichier caché, il peut être nécessaire à la bonne marche de ton pc. A toi de voir si tu veux les recacher. Vide ta corbeille. Tu avais de multiples infections : infection de type MSN, Baggle, MagicControl, Vundo, etc. . Je te serais reconnaissant de rapporter ton infection sur Malware Complaints. Enfin, je t'invite à longuement parcourir cette page synthétisant de nombreux liens d'articles de prévention, de tutoriels de configuration et de sécurisation de ton pc. Tu as été très infecté, il est primordial que tu prennes conscience que c'est à cause de ton attitude irresponsable. Non seulement tu étais infecté, mais nombre des infections que tu avais ont certainement infecté des contacts (messagerie, mail) que tu as dans tes listes d'adresses. Les infections ne sont pas une fatalité, il est relativement simple de s'en prémunir. Sur ce, si tu n'as plus de questions je t'invite à basculer ton sujet en résolu comme ceci : Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Si tu as des questions, je t'invite à me les poser. Bon surf !

Re, Tu me confirmes que lors de chacune des recherches, toutes les caces étaient cochées comme dans mon image ? Oui tu peux vider la quarantaine d'avg as si tu le souhaites, je comptais te la faire vider par la suite.

Bonsoir tignous68, Télécharge cet outil LSPFix de Cexx.org sur le bureau. Dezippe LSPFix. Démarre LSPFix=> double clique sur LSPFix.exe Coche 'I know what I'm doing' Clique sur 'Finish'. Rends toi dans ton menu démarrer>Panneau de configuration>Ajout/Suppression de programmes et désinstalle : Windows Registry Repair Pro Télécharge CFScript.txt et enregistre le sur ton bureau. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Poste également un nouveau log hijackthis.

Re Ouvre Firefox, va dans le menu Outils>options>onglet Vie privée>et désélectionne "Toujours effacer mes informations personnelles à la fermeture de Firefox". Tu me diras si cette option était sélectionnée ou non, et si cela a eu une incidence sur ton souci. Sinon, pour le reste, on va fouiller un peu. Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse le, sur ton bureau par exemple. Un nouveau dossier chercher va être créé DiagHelp. Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

Cela peut prendre un certain temps en effet. Appuie sur la touche ENTREE si tu as l'impression que ça a bloqué. Et sois patient(e).

Bonsoir coxyman -Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle l'entrée en bleu dans la ligne de la zone de recherche: {0F6C322F-79A9-7043-BD27-75BC227ADB04} - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici. - ferme le bloc-notes -Renouvelle l'opération complète avec : {85BA132B-8723-19A5-EDC6-38F90072A873} - ferme RegSearch par Cancel.

Re Très bien. Cette ligne est donc nécessaire au résident, il doit certainement redémarrer le service de lui même. Une sorte d'autoprotection très certainement. Je suppose que si tu désactives le résident via l'interface de l'outil, et que tu désactives également cette protection résidente au démarrage (toujours via l'interface) là le service sera bien arrêté et non apparent. Antivir fonctionne presque de la même façon avec son guard.

Re Pour que la ligne disparaisse du rapport, il faut désactiver le service (au préalable l'arrêter), redémarrer, et regénérer un rapport. Sinon, elle sera toujours apparente.

Re Oui, fais le pour chacune des connexions configurées sur ton pc. Et renouvelle les rapports hijackthis et smitfraudfix en option 1. En l'état, les entrées sont toujours visibles.

Re Bon, ok bon travail. Mais je ne vais te laisser partir comme cela ^^. Je vais revenir dans la soirée poster ici pour t'indiquer comment supprimer et/ou désinstaller les outils que l'on a utilisés et t'indiquer quelques points pour d'avantage sécuriser ton système. A plus tard

Re gogeta Le rapport n'est pas complet. Assure toi d'avoir bien décompressé l'archive (zip) en faisant un clic-droit sur le fichier, puis Extraire tout. Ensuite, lorsque tu l'exécutes, suis bien les instructions à l'écran, appuie sur la touche ENTREE lorsque cela t'es demandé. C'est l'outil qui t'ouvre un rapport, ce n'est pas à toi d'aller le chercher. Veux tu bien recommencer stp ?

Bonjour, Sujet déja traité ici http://forum.zebulon.fr/index.php?showtopic=127876. Je ferme celui la.

Re Si tu veux donc ôter cette ligne : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE Il te faut donc la fixer, et supprimer le fichier que tu trouveras sous system32 dans windows. Pour le service O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe, je le crois nécessaire à la protection résidente. Mais tu peux t'en assurer, via l'onglet services de MSCONFIG. Désactive le là, et redémarre pour constater si cela fonctionne normalement ou pas. Le "fix" d'une ligne O23 ne fonctionne pas, ce sont des services qu'il faut préalablement arrêter, puis ensuite désactiver ou supprimer. On ne peut supprimer ces lignes via hijackthis en "fixant" que lorsque le fichier sur lequel elles pointent ne sont pas présents.

Haaaaan, cachotier Coolman !

Re, Déconnecte toi d'internet. Va dans ton menu Demarrer > Paramètres > Connexions réseaux > fais un clic droit sur ta connexion, puis>Propriétés > onglet Gestion de réseau Met en surbrillance Protocole internet (tcp/ip) puis clic sur le bouton Propriétés Efface les 2 IP dans Serveur DNS préfèré et Serveur DNS auxiliaire. Coche Obtenir les adresses des serveurs DNS automatiquement. Valide avec OK. Renouvelle l'opération pour chacune des connexions présentes. Redémarre l'ordinateur et poste un nouveau log hijackthis suivi d'un rapport généré par smitfraudfix en option 1.

Bonjour MANTICORE Charles Ingals est en vacances, on va poursuivre ensemble si tu veux bien. Ton log hijackthis présente des traces d'infection semble-t-il absentes à présent. Il y avait la présence notamment d'un "voleur de mots de passe", voir ici pour plus d'informations. Je te recommande d'être prudent. Puisque tu possèdes AVG AS, je vais te demander de le mettre à jour et de procéder à une analyse en mode sans échec : Mets à jour AVG AS. Ferme AVG AS. Ne pas le lancer tout de suite. Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php Télécharge ATF Cleaner par Atribune. Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page Redémarre en mode sans échec. Double-clique ATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Lance AVG AS et clique sur Analyse Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau Redémarre en mode normal. Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique fsbl.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe Poste : le rapport AVG AS le rapport Blacklight un nouveau log hijackthis Et précise quels sont les soucis qui persistent sur le pc. A bientôt.

Bonjour tout le monde, bonjour Pianiste Ce sont des outils efficaces qu'il est toujours pratique d'avoir sous la main je trouve.