Gof

Bonjour verseau, Rien d'alarmant sur ton rapport, hormis je trouve la présence de beaucoup d'outils de sécurité, qui doivent je pense occasionner pas mal de ralentissements. Panda, Ad-Aware, AVG... Je te fais corriger deux entrées obsolètes. Relance un scan HijackThis Clique sur Do a system scan only et coche les lignes ci-dessous : O2 - BHO: (no name) - {450D0227-4FF2-40EE-8671-EB32F452C204} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k Ferme toutes les fenêtres sauf HijackThis et Fix Checked. As-tu fait une manipulation particulière qui selon toi serait juste antérieure à l'apparition de tes soucis ? Il y a beaucoup de présence P2P, méfie toi, c'est l'un des premiers vecteurs d'infection en ce moment.

Bonjour, Me revoilà. Bien, l'outil a bien bossé, poursuivons. A quels lecteurs correspondent les lettres O, R, Q, S ? S'il s'agit de supports amovibles, branche les tous -sans les ouvrir- avant d'exécuter les manipulations suivantes. Télécharge CFScript.txt et enregistre le sur ton bureau. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaître, valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Télécharge SystemLook de jpshortstuff sur ton Bureau. Double-clique dessus afin de l'exécuter. L'outil va s'ouvrir. Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire. Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil : :contents c:\documents and settings\Guy\7716.bat Puis, clique sur Look L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport Poste le contenu complet du rapport à la suite

Bonjour avilug Très probablement oui. En effet, si tu as plusieurs supports amovibles, tu renouvelles la même démarche à chaque fois. Les rapports s'accumuleront ici : c:\combofix(numéro).txt. Il faudra donc me les poster en conséquence.

Le rapport n'est pas complet. Reposte le entièrement je te prie, suivi du deuxième rapport (info.txt).

Bonjour Verseau Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Bonjour avilug Tu as utilisé pas mal d'outils différents de ta propre initiative. Ce n'est pas toujours très prudent. Tu annotes, par exemple, " -combofix (recherche uniquement) " ; mais ComboFix ne fonctionne pas comme cela. Il ne fournit pas de recherche uniquement, il traite. C'est un outil puissant que je déconseille aux internautes d'utiliser sans aide. Mal utilisé, il peut faire plus de mal que de bien. Manifestement, ton infection se propageait par supports amovibles. Ce qui fait que tu te réinfectais tout le temps, malgré l'intervention d'Antivir. L'infection avait donc contaminé toutes tes partitions, et sans doute que tous tes supports amovibles le sont aussi. Un support amovible, cela correspond à une clé usb, une carte flash (que celle-ci soit insérée directement dans un lecteur présent sur le pc, ou branchée via un appareil photo, ou une imprimante), un disque dur externe, un lecteur MP3, une caméra, etc. Branche donc tous tes support amovibles, sans les ouvrir. Démarre-les juste quand c(est nécessaire (dans le cas d'un disque dur externe par exemple). Les brancher tous permettra de les traiter, sinon ils seront ignorés par les outils. Télécharge CFScript.txt et enregistre le sur ton bureau. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaître, valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Puis, télécharge autoavilug.bat sur ton Bureau. Double-clique dessus pour l'exécuter, laisse travailler. Une fenêtre noire va s'ouvrir, laisse faire. L'outil ne génèrera pas de rapports. Quand il sera fini, la fenêtre noire se fermera toute seule. Ce dernier fichier va verrouiller un répertoire autorun.inf - vaccin sur tes partitions, de sorte que ce type d'infections ne se propage plus sur ton système de cette manière là.

Oui en effet, je l'ai oublié, navré. Tu le supprimes, et tu vides ta corbeille.

Bonjour act Ne t'inquiète pas, tu n'es pas oublié, Qc001 n'est pas loin, mais il n'est pas évident pour chacun de concilier les forums et la vie. A titre info, Comodo Firewall est compatible Vistax64 : http://personalfirewall.comodo.com/download_firewall.html (il faut dérouler la fenêtre pour sélectionner la version) L'antivirus et le pare-feu sont compris dans le setup d'installation, ensuite il est possible de sélectionner ce que l'on veut installer (ou l'un ou l'autre, ou les deux). Un tuto de Malekal morte ici : http://www.malekal.com/tutorial_COMODO_Firewall.php

Bonjour P0rto Tu peux supprimer ce rapport, tout s'est bien passé visiblement. Tu n'as pas rencontré de soucis à la suppression des différents outils, rapports, et points de restauration ? Si tout va bien, je me permets de te demander un service. Je te serais reconnaissant de jeter un coup d'oeil à Malware Complaints. Tu étais pour ta part infecté par une infection de détournement de DNS (DNS.Changer) (Daonol précisément pour toi). Si tu n'as pas de questions, pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu". Bon surf !

Il faut que tu fasses un clic-droit sur le lien, avec ta souris, et que tu sélectionnes "Enregistrer sous", ou "Enregistrer la cible du lien sous". Ce qui te permettra de choisir le nom et l'emplacement du fichier.

Bien. Télécharge Combofix depuis l'un des liens ci-dessous. Tu dois le renommer avant de l'enregistrer. Enregistre-le sur ton Bureau. Lien 1 Lien 2 Lien 3 -------------------------------------------------------------------- Fais un double clic sur Combo-Fix.exe & suis les invites. Lorsque l'outil aura terminé, il affichera un rapport. Envoye le contenu de C:\ComboFix.txt .

Merci, à toi aussi. Je suivrais la résolution de tes soucis sur les autres sous-forums. A bientôt.

Bonsoir Un autre curieux Bienvenue sur les forums de Zebulon. Quelques liens pour t'aider à commencer : Comment participer à un forum retrouver ses messages et activer la notification par email On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement ------------------------ Ton rapport présente en effet des traces d'infections et de détournement de DNS. Je vois que tu as généré ton rapport en Mode sans échec, tu n'as plus accès à ton mode normal ? Tu indiques que MBAM ne veut pas s'activer, peux tu préciser ? L'outil ne s'exécute pas, ne s'installe pas ?

Bonsoir cmoimas Je déplace ton sujet dans Optimisation, sécurisation et prévention. Il ne s'agit pas d'une infection. Là les membres t'indiqueront comment te prémunir du SPAM et filtrer ton courrier.

Bien. Un peu de ménage à présent. Va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner de Kaspersky. Tu as MBAM sur ton PC, je te suggère de le conserver. Dans sa version gratuite il n'y a pas de résidents, mais tu peux malgré tout le conserver et faire des mises à jour/analyses ponctuellement. Sinon, tu peux le désinstaller également. Tu as une version obsolète de Adobe Reader, cela introduit des vulnérabilités sur ton PC: à désinstaller. Tu trouveras une version à jour ici. Rends toi dans ton Menu Démarrer > Exécuter et tape : combofix /u Puis valide. Supprime tous les fichiers Combofix renommés encore présents sur ton Bureau ou à la racine du disque système (C:\), ainsi que les fichiers suivants si encore présents. C:\ComboFix.txt C:\rsit C:\Load-CF C:\fixwareout C:\Rooter$ C:\comb.com C:\Combo-Fix.exe Sur ton Bureau, si encore présents, supprime : RSIT.exe rooter.exe gmer del.reg systemlook.exe Vide ta Corbeille. Télécharge JavaRa.zip de Paul McLain et Fred de Vries. Décompresse le fichier sur ton bureau (clic droit > Extraire tout) Double-clique sur le répertoire JavaRa obtenu Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher) Sélectionne français pour la langue Clique sur Rechercher des mises à jour Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. Si ce dernier ne fonctionne pas, rends toi ici manuellement. Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Effacer les anciennes versions Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log) Ferme l'application Si tout va bien, réinitialise tes points de restauration : Puisque ton pc ne présente aucun disfonctionnement, je te fais désactiver et réactiver ta restauration système de sorte d'effacer tous tes anciens points de restauration. Histoire de repartir sur des bases saines. Suis la manipulation indiquée : Ne t'inquiète pas, en la réactivant, Windows recréera automatiquement un point de restauration qui sera, lui, propre. Procède comme ceci : Reviens m'indiquer si tout s'est bien passé quand tu auras terminé.

Très bien Supprime le fichier et vide ta corbeille. Indique moi si tu as rencontré des difficultés à le supprimer. Que donne l'analyse en ligne ? L'as-tu lancée pour voir si la détection dans les fichiers Thunderbird était toujours présente ?

Bien. Fais moi parvenir ce fichier comme ceci : Rends toi sur ce lien : http://dl.free.fr/. Clique sur Parcourir. Une fenêtre va s'ouvrir, pointe jusque sur le fichier qui nous intéresse et clique sur Ouvrir Ne mets pas de mots de passe Puis clique sur Envoyer Ca va travailler quelques instants Fais moi parvenir en message privé, via mon profil dans le forum le lien se trouvant à côté de cette indication : Le fichier sera accessible à l'adresse suivante:. Et le lien suivant, se trouvant sous cette indication : Vous pouvez supprimer le fichier lorsque vous le désirez via l'adresse suivante: .

Re Rien de très inquiétant dans ton rapport, il reste quelques traces dans la Base de Registre ; on va les corriger. Télécharger del.reg sur ton Bureau le fichier doit avoir cette icône : Double-clique pour l'exécuter, accepte la fusion. Ce sera très rapide. Tu peux supprimer le fichier del.reg ensuite. Relance un scan HijackThis Clique sur Do a system scan only et coche les lignes ci-dessous : O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.69.25.47.96.downloads.estara.com....177875OneCC.cab Ferme toutes les fenêtres sauf HijackThis et Fix Checked. Pour les soucis de lenteur persistants, cela n'est pas d'origine infectieuse. Où, à quel moment trouves-tu que le PC est lent ? Qu'est ce que tu appelles lent ? As-tu des soucis avec un périphérique, un matériel ou une application en particulier ? A quoi correspond le lecteur F ? Le lecteur cd/dvd ? Un support amovible ?

Bien Le fichier est infectieux, on va le supprimer, mais avant cela, par curiosité, je souhaiterais que tu le fasses analyser en ligne pour voir comment il est détecté par les antivirus généralistes, si tu le veux bien. Rends toi sur ce lien : Virus Total Clique sur Parcourir Rends toi jusque sur ce fichier si tu le trouves : C:\Documents and Settings\Melanie\Local Settings\nkq.dql Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

Bonsoir Cela correspond en fait à la corbeille de Thunderbird. Tes messages supprimés s'y déplacent. Si tu vides ta corbeille sous Thunderbird, tu supprimes l'affichage des éléments qui s'y trouvent, mais pas les éléments eux-mêmes. La remarque est la même pour les autres dossiers de Thunderbird en général. Rends toi donc dans Thunderbird, et sur le dossier de la Corbeille, fais un clic-droit et sélectionne "Compacter" (les termes précis ne sont peut-être pas exactement les mêmes). Cela aura pour effet de réellement supprimer les éléments, et non juste en supprimer l'affichage. En procédant ainsi, l'analyse en ligne ne devrait plus révéler l'élément infectieux qui y était détecté. Bien, poursuivons maintenant. Il y a un quelque chose qui m'échappe, et je n'aime pas ça Télécharge SystemLook de jpshortstuff sur ton Bureau. Double-clique dessus afin de l'exécuter. L'outil va s'ouvrir. Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire. Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil : :filefind *.dql Puis, clique sur Look L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport Poste le contenu complet du rapport à la suite

Bonsoir Bon. Renouvelle moi un rapport RSIT que l'on s'assure que Norton ait bien disparu, ainsi que les diverses petites traces qu'on avait vues. Qu'en est-il des soucis initiaux ?

Bonsoir Bon, il ne s'agissait visiblement que de traces. Renouvelle un rapport RSIT (tu n'auras qu'un rapport, pas deux, contrairement à la première fois), pour s'assurer que la suppression de ces traces a bien fonctionné. Les symptômes sont toujours présents j'imagine ?

Bonjour P0rto Curieux ton souci. FixwareOut n'est plus distribué et entretenu depuis longtemps, où l'a-tu récupéré ? Télécharge del.reg sur ton Bureau. Le fichier doit avoir cette icône : Double-clique, accepte la fusion. Ce sera très rapide. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Branche tes supports amovibles (clés USB, lecteurs MP3, cartes Flash, etc.) sans les ouvrir. Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Profites en par la suite pour te réinstaller un antivirus.

Bonjour Babar8 Il y a quelques traces dans tes rapports d'une infection par support amovible. Cela signifie que tes supports sont peut-être infectés, et qu'il te faudra être prudent avec ces derniers en attendant qu'on les regarde de plus près. Et un service bien curieux qui ne semble plus présent. On va regarder ça. Télécharge del.reg sur ton Bureau. Le fichier doit avoir cette icône : Double-clique, accepte la fusion. Ce sera très rapide et ne générera pas de rapport. Télécharge del.bat sur ton Bureau. Le fichier doit avoir cette icône : Double-clique, ça va travailler. Ce sera rapide également, et ne génèrera pas de rapport. Télécharge SystemLook de jpshortstuff sur ton Bureau. Double-clique dessus afin de l'exécuter. L'outil va s'ouvrir. Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire. Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil : :filefind *7302.com *AdobeR* *qckkjkpz6* *gjmdjsarqhme* *daayonbs6* :contents C:\windows\wt.INI Puis, clique sur Look L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport Poste le contenu complet du rapport à la suite

Bonjour Total Rigole, Relance un scan HijackThis Clique sur Do a system scan only et coche les lignes ci-dessous : O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\Users\TOTALR~1\AppData\Roaming\MICROS~1\dllhst3g.exe /waitservice O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ClipSrv] C:\Windows\System32\drivers\clipsrv.exe /waitservice (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ClipSrv] C:\Windows\System32\drivers\clipsrv.exe /waitservice (User 'Default user') Ferme toutes les fenêtres sauf HijackThis et Fix Checked. Redémarre le PC. Puis, recommence ma manipulation avec OtList2.