oGu

On poursuit, mais ça avance vite et bien! HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes si elles existent: O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file) Ferme tes navigateurs Clique en bas sur "Fix checked" Redémarre Il restait des clés de registre, c'est pourquoi je tai demandé de lancer CCleaner: il faut toujours aller au bout des procédures ! VIRUSTOTAL Va sur le site VirusTotal Copie cette ligne: G:\Run.exe Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V: Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. MALWAREBYTES ANTIMALWARE (MBAM) Télécharge Malwarebytes Antimalware en cliquant sur cette image: Installe-le puis lance-le Connecte éventuellement tes clés USB et disques externes. Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter une analyse approfondie" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le EWIDO Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image: Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Connecte éventuellement tes clés USB et disques externes. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport. RAPPORT ANTIVIR Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Connecte éventuellement tes clés USB et disques externes. Puis lance un scan Antivir et supprime tout ce qu'il te trouve. Poste le rapport qu'Antivir va générer HIJACKTHIS Poste un nouveau rapport s'il te plaît! Nota: pourquoi as-tu un démarrage automatique pour HijackThis?? Il se lance au démarrage de Windows?

Ok, on poursuit. OTMOVEIT Télécharge OTMoveIt sur ton bureau Double clique sur OTMoveIt.exe Sélectionne et copie la ligne ci-dessous C:\Program Files\Search Settings Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller". Clic sur le bouton rouge MoveIt Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clique sur "Yes" Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles) TOOLBARS ! Désinstalle la toolbar suivante avec ton panneau de config': DVDinfoPro Toolbar CCLEANER SLIM Télécharge CCleaner SLIM en cliquant sur l'image: Installe-le, lance-le et clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée et enregistre-la dans tes documents Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" Pas de rapport à fournir ce coup-ci ! HIJACKTHIS Poste un nouveau rapport s'il te plaît!

Oui, je sais ! Excellente initiative! De rien. J'attends les rapports now !

Yo!! Pas de problème! Les études passent avant le PC, et une désinfection se mène au calme, la tête froide. Arf, j'avais pas fait attention que tu tournais sous IE7...Firefox est clairement conseillé au niveau sécuritaire, tu devrais l'essayer, il est simple à comprendre et importe automatiquement tous tes favoris d'Internet Explorer. On y reviendra à la fin si tu veux, et on pourra le sécuriser contre les pubs, virus divers etc... Du coup, passe la procédure Firefox et applique celle-ci: DESINSTALLATION de BASE Ouvre Internet Explorer Choisir Outils/Options Internet, puis l'onglet Avancé. Cliquer sur Outils/Gestion des modules complémentaires Chercher le module Google Toolbar ou équivalent et le désactiver Redémarrer Internet Explorer Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration Uniquement dans le cas où ta version est la gratuite: la désinstaller définitivement et la remplacer par Ewido. On pourra sécuriser ta machine, mais concernant tes infections, c'est probablement plus ton comportement que les logiciels de défense qu'il faut incriminer ! Tu as installé des faux-logiciels sans te renseigner à leur propos, tu as utilisé deux attrape-nigauds avec Boonty Games et Incredimail. Vundo pour sa part s'attrape souvent via des mails piégés, donc tu as du manquer de vigilance, et je ne serai pas étonné également que tu ais chopé deux trois trucs avec des cracks, du peer-to-peer, des pages MySpace hackées, voire des fausses pages/vidéos porno, vu la profondeur de ton infection ! Une infection, en tout état de cause, ne peut pas s'installer toute seule, à ton insu, sans que tu ais, à un moment ou un autre, failli. A+ pour la suite!!

Ok! Je note deux antivirus sur ta machine: Kaspersky et Avast: est-ce le cas? SMITFRAUDFIX Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 en cliquant sur cette image: (Si tu as Norton Antivirus ou NOD32, désactive-le) Double-clic dessus pour le lancer Choisis l'option 1 et appuie sur Entrée Réponds o (Oui) aux deux questions suivantes si elles sont posées Un rapport sera généré, sauvegarde le dans un dossier Copie/colle le contenu du rapport ici BTFIX Télécharge BTFix de Bibi26. Dézippe l'archive sur le Bureau. Ouvre le dossier BTFix. Double clique sur BTFix.exe. Clique sur "Rechercher". Un rapport va apparaître, copie/colle-le dans la prochaine réponse. Nota pour les éventuels observateurs: le site de Bibi26 étant en rade, j'ai donné exceptionnellement un lien vers Clubic. Il est préférable néanmoins, autant que faire se peut, de télécharger directement sur le site de l'auteur. TOOLBARS ! Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens: La Yahoo! Toolbar analysée par Assiste Les toolbars, c'est pas obligatoire ! (by Malekal) Tiens, voilà les conditions d'utilisation de la toolbar Google: Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement... Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit: DESINSTALLATION de BASE Ouvre Firefox Choisir Outils, puis Modules complémentaires Chercher le module Google Toolbar et cliquer sur Désinstaller Redémarrer Firefox Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" de ton Panneau de Configuration

Yo! Ce n'est pas spécialement la section 10 qui donne des infos sur les malwares: il nous faut le log HijackThis si tu veux que l'on te donne un coup de main. A+

La page de download est ici: http://www.eqsecure.com/download.html J'ai l'impression qu'on en est encore à la Beta: perso, installer un HIPS Béta en chinois, non merci! Ce lien permet de télécharger un truc en lien avec cette béta, mais il semble que se sont les fichiers bruts, sans installeur. http://www.eqsecure.com/download/EQSecure_V4.0_Beta_new.rar

Yo! Tu as bien bossé , la désinfection s'est très bien passée malgré les difficultés ! Merci! c'est vrai que c'est moins sympa que des romans ou France Football !! Pas grave: comme les fichiers ont étés supprimés par les CFScripts, XP les a viré tout seul au démarrage, tant mieux! Alors c'est qu'elles n'existent pas ou plus, pas de souci. Probablement, mais l'entré existe encore...On va s'en charger! Oui, ce sont des faux positifs, tu as bien fait de ne pas les supprimer. On poursuit, ce sont les dernières étapes, ta machine sera saine à la sortie de ce post! Suis scrupuleusement les étapes dans l'ordre indiqué. TOOLBARS ! Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens: La Yahoo! Toolbar analysée par Assiste Les toolbars, c'est pas obligatoire ! (by Malekal) Tiens, voilà les conditions d'utilisation de la toolbar Google: Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement... Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit: DESINSTALLATION de BASE Ouvre Firefox Choisir Outils, puis Modules complémentaires Chercher le module Google Toolbar] et cliquer sur Désinstaller Redémarrer Firefox Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" de ton Panneau de Configuration Ok. J'espère que tu n'as pas installé la Yahoo! Toolbar à l'install' de CCleaner! Voilà comment l'utiliser, tu peux le faire dès maintenant: CCLEANER SLIM Lance CCleaner Clique sur l'onglet : "Registre" Clique sur "Rechercher des erreurs" puis "Corriger les erreurs" Répond "oui" à la demande de sauvegarde proposée et enregistre-la dans tes documents Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage" Pas de rapport à fournir ce coup-ci ! Oui, mais c'était seulement un scan: on va maintenant nettoyer avec cet outil, par précaution plus que par absolue nécessité! Comme Antivir a viré des fichiers de SmitFraudFix (il les considère comme des virus...Pourtant le support Avira a été prévenu à ma connaissance. Bref!), il te faut le désinstaller à partir de ton Panneau de Configuration puis le réinstaller: SMITFRAUDFIX Désactive Antivir (clic droit sur le parapluie en bas à droite, puis sélectionne la bonne option) Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 en cliquant sur cette image: Redémarre ton ordinateur en mode Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis l'option pour exécuter Windows en mode sans échec AVEC prise en charge réseau , puis appuie sur "Entrée". Choisis ton compte Là, relance Smitfraudfix Note : L'option 2 que nous allons lancer supprimera les infections traitées par l'outil, mais l'option 2 de SmitFraudFix enlève aussi le fond d'écran ! --> Si tu souhaites conserver ton fond d'écran,assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix ! Choisis l'option 2 puis valide avec la touche [entrée] --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu. --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse EWIDO Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Connecte éventuellement tes clés USB et disques externes. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, FERME TES NAVIGATEURS puis clique sur Remove infections Enfin, si tu as la version Free de AVG Antispyware, désinstalle-là: Ewido la remplacera (Ewido utilise les bases de données d'AVG !) NETTOYER LES POINTS DE RESTAURATION Aller dans le menu "Démarrer" Cliquer droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs". Cliquer sur "Appliquer." Lorsque le message de confirmation apparaît, cliquer sur "Oui" Cliquer enfin sur "OK". Redémarrer Puis: Aller dans le menu "Démarrer" Cliquer droit sur l'icone "Poste de travail" Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs". Cliquer sur "Appliquer." Lorsque le message de confirmation apparaît, cliquer sur "Oui" Cliquer enfin sur "OK". MISE A JOUR de JAVA java est un élément essentiel pour la navigation, et il est souvent mis à jour pour corriger ses vulnérabilités. Ta version est obsolète: Dans ton Panneau de Configuration, clique sur l'icône JAVA Dans la fenêtre qui s'ouvre, clique sur l'onglet "Mise à jour" Clique en bas sur "Mettre à jour maintenant" et laisse l'update s'installer CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note: KillAll File: C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT2.tmp Folder:: C:\Program Files\IncrediMail Driver:: Boonty Games Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix.txt (il est stocké ici: > C:\ComboFix.txt) HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes si elles existent: Ferme tes navigateurs Clique en bas sur "Fix checked" Redémarre Poste un nouveau log HijackThis pour contrôle! VIDER LA QUARANTAINE ANTIVIR En t'inspirant de cette image: INSTALLER UN HOSTS AVEC HPHOSTS Télécharger le logiciel hpHosts en cliquant sur cette image: Installer-le en cliquant successivement sur "next" puis "install" Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)" Redémarrer Et voilà!! Bon courage! Ogu

Yo! Peut-être serait-il plus simple de poster sur le forum de MBAM? A moins que cela ait déjà été fait.

Yo! Les deux driverss sont légitimes: uphcleanhlp.sys correspond à "User Profile Hive Cleanup Service" de Microsoft, et procexp100.sys est lié à Process Explorer. Rien à craindre donc, il faut les laisser sur ta machine. A+

Merci de cette réponse Kewlcat!

Autoruns m'indique que RDClip.exe se lance au démarrage de mon PC: Pendant très longtemps j'ai cru que c'était l'exécutable pour le copier-coller, mais une rapide recherche m'indique qu'il est en réalité utile pour faire un copier-coller avec un serveur distant... http://www.auditmysoftware.com/process/rdpclip En clair, pour un usage courant sur un PC qui n'est pas en réseau, cet exe est-il indispensable, ou puis-je le désactiver sans perdre mon copier-coller? Merci de vos réponses! Ogu

Non, si tu le fais par Spybot, tu peux t'en contenter: l'avantage de HPhosts, outre sa simplicité, c'est qu'il désactive automatiquement le service "client DNS", qui cohabite mal avec un hosts à plusieurs milliers de lignes.

En complément de ce qui a été dit et auquel je souscris (il te faut à tout prix un antispy résident si tu rechignes à t'équiper d'Antivir Premium): en vrac (!!); INSTALLER UN HOST Explications: Un hosts est un simple fichier texte recensant les sites à risque (contenant des exploits, des failles de sécurité, des virus etc...); ce fichier va INTERDIRE à ta machine de s'y connecter. Simple et redoutable! On va utiliser un logiciel qui automatise la création d'un hosts: HpHosts Télécharger le logiciel hpHosts en cliquant sur cette image: Installer-le en cliquant successivement sur "next" puis "install" Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)" Redémarrer FERMER LES PORTS Explications: par défaut, XP comporte de nombreux ports ouverts, qui sont autant de cibles pour les pirates et les infections, qui profitent de ces failles.Nous allons donc verrouiller les ports inutiles (mais dangereux!) avec ZebProtect, créé par des membres de Zebulon Télécharge le logiciel ZebProtect Suis le tuto de Tesgaz SECURISER TA BOX Explications: les routeurs sont équipés de pare-feu qui complètent très efficacement le firewall de ton PC: jette un oeil sur ce tuto, en espérant que ta Box y soit détaillée. UTILISER ET SECURISER FIREFOX Explications: Firefox est un navigateur mieux protégé que Internet Explorer, et qui permet via des extensions de le rendre encore plus sécuritaire. Utilise exclusivement FIREFOX Sécurise-le avec les extensions suivantes: extension AdBlock Plus contre les publicités. avec AdBlock Plus, installe les filtres antipub FR + EASY LIST en cliquant, en milieu de page, sur cette image [*]extension Customize Google:disparation des pubs Google et anonymisation des cookies Google[/b] [*] Ta navigation sera plus sûre et agréable. VACCINER SON PC CONTRE LES INFECTIONS de CLES USB Explications: on trouve de plus en plus de virus spécialement conçus pour s'installer sur une clé USB, et qui, une fois connecteé sur ton PC, reproduit le virus sur ton système (et comme on connecte parfois ses clés sur des PC dont on ne connaît pas la santé, au boulot, au Web café, chez des amis etc..., mieux vaut se prémunir!). Un logiciel automatise cette vaccination: VaccinUSB Télécharge VaccinUSB de Gof ATTENTION:certains antivirus réagissent à son téléchargement: ignore l'alerte, ou bien désactive l'antivirus: VaccinUSB est un logiciel sain!! Colle VaccinUSB sur ton disque C:\ (et pas ailleurs!) de manière à obtenir ceci: C:\VaccinUSB Double-clique dessus -----------------> VaccinUSB, à l'image d'un vaccin, va créer sur ta clé de faux virus inoffensifs portant le nom des vrais virus: ainsi si un virus USB tente de s'installer sur ton PC, il ne le fera pas car il aura l'impression d'être déjà installé ! Par ailleurs il va protéger ton autorun en empêchant sa modification par un virus. Tu peux faire la même opération sur tes clés USB et sur ton disque dur externe, en collant VaccinUSB sur chaque support amovible et en l'exécutant. Tu connais déjà le topo sur le peer-to-peer...Pour MSN, il existe des versions "clônes" moins vulnérables comme par exemple aMSN. Mais tu peux également le sécuriser avec StripMyRights, via un raccourci par exemple.

Re! Bof! En nette perte de vitesse, le tea-timer ne sert plus à grand-chose, et la protection du navigateur ne marche que sur Internet Explorer (Firefox est nettement conseillé) Mais tu peux le conserver si tu l'aimes bien. C'est la méthode de désinfection en autonomie de Tesgaz: elle est encore partiellement valable, mais dans le cas d'un PC infecté: est-ce ton cas?? Pas obligatoire, les deux font la même chose, mais pourquoi pas, ATF est super petit et ne s'installe pas. SURTOUT PAS, sauf si un conseiller en sécurité te l'indique en analysant précisément ton cas. Si tu t'y connais un peu, ça vaut le coup, sinon autant garder le firewall inclut dans Windows. Si tu veux sécuriser ton PC, ouvre un topic à ce propos et on t'enverra des conseils, en analysant ta config' en détail.

Bon, on verra à la fin pour les icônes, il doit bien exister un .reg pour restaurer tout ça... je vais te donner beaucoup de boulot : normalement la procédure se fait en plusieurs fois et je jette un oeil au fur et à mesure, mais vu que j'ai d'autres désinfections en attente et que tu t'en sors visiblement bien avec les manip', je te donne la totale, et j'analyserai comme ça l'intégralité des rapports ! CREATION/EXECUTION D'UN CFSCRIPT Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement. Ouvre un nouveau fichier du Bloc-notes "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note : KillAll:: Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{EEDEF161-573C-4CC0-83E5-1F4CD35BB459}"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MalWarrior"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "vbksrofa"=- "mpfanvqg"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjHwVN] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "7c577c65"=- Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!! Désactive ton antivirus et ton antispyware Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe ComboFix sera lancé. Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. ComboFix peut exiger un redémarrage pour compléter son travail. Accepte. Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran. Soumet le fichier en cliquant "OK" Enfin, poste le rapport suivant dans ta prochaine réponse : - Combofix5.txt (il est stocké ici: > C:\ComboFix.txt) HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes: Ferme tes navigateurs Clique en bas sur "Fix checked" Redémarre Pour compléter le nettoyage: SMITFRAUDFIX Pas sûr tu ais eu du SmitFraud (l'infection a été supprimée par les scripts de toute façon), mais cela nettoiera les problèmes de fonds d'écran etc... Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 en cliquant sur cette image: (Si tu as Norton Antivirus ou NOD32, désactive-le) Double-clic dessus pour le lancer Choisis l'option 1 et appuie sur Entrée Réponds o (Oui) aux deux questions suivantes si elles sont posées Un rapport sera généré, sauvegarde le dans un dossier Copie/colle le contenu du rapport ici SDFIX L'infection SD a été elle aussi dessoudée par COmboFix, mais on va s'assurer qu'il n'y a plus de problèmes de registre, et que le hosts est sain. Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. http://download.bleepingcomputer.com/andymanchesta/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix ) Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis. N.B.: - Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil. - Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir. Si Sdfix ne se lance pas (ça arrive!) Démarrer->Exécuter Copier/coller ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe Cliquer ok, et valider. Redémarrer et essayer de nouveau de lancer Sdfix. INCREDIMAIL IncrediMail est un programme que l'on déconseille très fortement depuis des années: il collecte des informations personnelles te concernant et en fait un usage commercial; en cela il se rapproche d'un spyware! Pierre Pinard (Consultant en sécurité informatique, sur Assiste.fr) a écrit un excellent article à ce sujet . Pour le désinstaller, suis scrupuleusement cette procédure. Pour passer, par exemple, d'Incredimail à ThunderBird (conseillé), voir ceci pour le transfert des mails FERMER LE SERVICE "Boonty Games" Rend-toi dans le menu "démarrer" Clique sur "exécuter" Tape services.msc puis "ok" Dans la console qui s'ouvre, cherche ( par odre alphabétique) le service intitulé: Double-clique dessus puis règle son démarrage (avec le menu déroulant) sur "désactivé": Clique enfin sur "arrêter" Redémarre 3 scans pour finir: RAPPORT ANTIVIR Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Puis lance un scan Antivir et supprime tout ce qu'il te trouve. Poste le rapport qu'Antivir va générer EWIDO Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image: Double-clique sur le fichier ewido_micro.exe pour l'exécuter. Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte. Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées. Clique sur Start Scan et laisse l'outil travailler. Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau. Poste le dans ta prochaine réponse. Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport. MALWAREBYTES ANTIMALWARE (MBAM) Télécharge Malwarebytes Antimalware en cliquant sur cette image: Installe-le puis lance-le Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter une analyse approfondie" Clique sur "Rechercher" Le scan se lance A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le Voilà, ça te prendre facilement tout le week-end !! A+ !

Yo! Vite fait avant d'aller taffer: pour tes icônes, tu peux cliquer droit sur le "Poste de travail" qui apparaît dans ton menu "démarrer" et suivre la procédure. A tout à l'heure!

Ouais possible dans ton cas avec la page blanche. Mais je ne m'explique pas ma redirection sur Google...Maybe OpenDNS qui filtre l'url et me renvoie sur ma page d'accueil par défaut?

Yo! Hélas je n'aurais pas le temps d'analyser les rapports aujourd'hui (ça prend beaucou^p de temps pour faire les procédures ), mais j'y reviendrai ce week-end. Ouais, cela n'a pas fonctionné, j'ignore pourquoi. On le virera de manière plus conventionnelle. En tout cas, CF a travaillé, c'est le principal. Il reste du boulot mais on est sur la bonne voie. Je voulais signifier qu'il fallait fermer tes navigateurs internet (exemple: Firefox, Opéra, Internet Explorer...) AVANT de cliquer sur "fix checked". Sinon certaines lignes ne disparaissent pas. Cliquez avec le bouton droit de ta souris sur le Poste de travail puis choisis "Propriétés". Dans l'onglet "Avancé", clique sur "Paramètres", dans le cadre "Performances". Ensuite coche la case "Utiliser des ombres pour le nom des icônes sur le Bureau" et valide. Pour ta page de démarrage règle-là à partir de l'interface de ton navigateur (lequel utilises-tu?) car je ne vois rien dans le rapport HijackThis concernant ce détournement de page d'accueil. De toute façon on passera SmitFraudFix pour nettoyer tout ça après le ComboFix. A demain pour la suite!

Non, ce n'est pas StripMyRights: plutôt un proxy ou un truc du genre (j'ai SpyBlocker)

Yo!! J'ai traité la désinfection de Dydeline et je lui ai conseillé de venir poster chez vous pour les drivers. Le SP2 a déjà été installé sur mes conseils, avant même que Dydeline recommence à surfer. Merci de vos coups de main les gars !

Le lien infectieux me redirige vers Google sans aucune alerte. Et vous?

Yo! Le rapport est impecc', deux trois corrections mineures restent à faire: HIJACKTHIS Relance HijackThis Sélectionne "Do a scan only" Coche les lignes suivantes: Ferme tes navigateurs Clique en bas sur "Fix checked" Redémarre Veux-tu que je te poste une procédure simple de sécurisation en complément?? A bientôt!

Yo!! Ca m'a l'air beaucoup mieux tout ça! A demain pour la suite des aventures!

Arf, je t'avais oublié Marion! Je m'occupe de ton cas demain, désolé du retard!!