Falkra

Ton rapports est ok, on va pouvoir sécuriser, si tu me confirmes que les symptômes ont disparu.

Ok on peut poursuivre demain, ça va régénérer mais je te prépare un gros truc pour les éclater. Ne t'en fais pas, ce n'est qu'une question de temps, et ça n'altère pas tes fichiers personnels.

Le tout, c'est qu'ils n'aient pas le temps de poster, mais bon, tout se nettoie, au fond, c'est simplement... pénible. NB : je précise que Yann n'y est pour rien et n'a rien "oublié", sinon il y en aurait eu tous les jours depuis le début, et postant en tant qu'invités.

Sans le script. Une passe simple.

Les admins sont au courant, j'ai déjà envoyé il y a un moment ce qu'il faut côté MP et manips simples pour contenir le truc. N'encombrons pas les boites à MP. Tout sera nettoyé d'ici peu, ce n'est qu'une question de temps. C'est un spambot à la noix qui sévit un peu partout. Vous n'avez sans doute pas vu la première vague, qui a déjà été shootée.

C'est normal (enfin logique : il en reste). Désactive l'antivirus. Refais une passe combofix, poste le rapport, ça va redémarrer, re-désactive l'antivirus pour laisser les outils bosser.

Bonsoir, parlons protections, en dehors du classique antispam ou filtre. Une option saine mais souvent rejetée par les utilisateurs pour des raisons esthétiques consiste à faire afficher les mails en mode texte au lieu d'HTML. Rien de nouveau ni de révolutionnaire, mais les faux liens, faux logos et faux hébergements se voient immédiatement, même sans réelles connaissances du langage HTML. Ce réglage est rendu facile par les clients mail (Outlook (express ou pas), Thunderbird, etc), parfois moins commodes sur des webmails, mais en cas d'hésitation (s'interroger est positif) le doute est vite levé. Pour Thunderbird, l'extension Allow HTML Temp permet d'afficher automatiquement tous les e-mails en mode texte seulement, et de basculer temporairement l'affichage en html, à la demande. http://www.thunderbird-mail.de/wiki/Allow_...p_%28english%29 Cela permet d'éviter les e-mails piégés sans se perdre en manips pour arriver à lire correctement un e-mail HTML légitime : un clic à portée de souris. De manière générale, tout mail vous demandant d'entrer un mot de passe quelque part est par définition hautement suspect. Après, il y a des faux plus subtils, comme celui évoqué au dessus.

Ca va aller mieux, redémarre, et vois comment se porte la machine.

He, on a à peine commencé, cool. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Houla, ne lance pas 50 trucs sans prévenir, ça met le bazar, il y a un ordre à respecter, sinon on perd du temps et ça n'avancera pas. Ne prends pas d'initiatives stp, là tu viens te faire aider, hein. Télécharge appmgmts.dll sur ce lien, et mets-le dans c:\windows\system32 : http://senduit.com/1cac54 Après, refais une passe combofix, sans script, et poste le rapport, à partir de celui que tu as sur le bureau. Je n'oublie pas ton pare-feu.

On n'a pas fini. Ce cher avast, désinstalle-le ou désactive-le le temps des manips, de toute faon il est HS. Démarre MalwareBytes (MBAM) Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

C'est pas terminé, même si ça va mieux. Ton blog, rien à voir, il y a un < de torp quelque part dans ton code, vérifie ton fichier, mais c'est un problème différent, ce n'est pas lié. Poste un nouveau rapport HijhackThis stp, il reste plein de choses à faire, mais le plus gros semble être derrière nous.

Ok pas de panique, et laisse le truc travailler et pondre son rapport s'il en pond un. S'il pond, poste le rapport. Ne touche à rien d'ici là, et de toute façon, on peut toujours réparer, même si ça ne démarre plus, sans perdre tes docs à toi. @ toute

Ce n'est pas normal. Au menu des choix de système, essaie "dernière bonne configuration connue", pour voir. NB : des réparations sont possibles sans reformatage.

Bonjour, activation par un mini mouchard... à l'insu de l'utilisateur pas très clean tout ça. Utilise plutôt la confirmation de lecture (ou accusé de réception, selon les logiciels), c'est plus respectueux.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Mauvais plan, il ne faut pas utiliser combofix tout seul, en plus je n'ai pas le premier rapport, va savoir ce qui a été fait, ça ne facilite pas les choses, et tu ne l'utilises pas comme il faut. On va réparer des choses. 1) Télécharge le fichier repar.zip ici : http://senduit.com/b4a93c Télécharge le fichier CFscriptstee.txt ici : http://senduit.com/55deaa 2) Dézippe le fichier repar.zip (de préférence dans un dossier) il contient deux fichiers système à réparer et un fichier repar.bat. Double clique sur le fichier repar.bat : il doit t'afficher deux copies de fichiers, et ensuite demander d'appuyer sur une touche. Ca doit marquer deux fois "1 fichier(s) copié(s)" 3) Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Fais un glisser/déposer du fichier CFscriptstee sur l'icône de combofix comme sur cet exemple : Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Combofix va faire redémarrer la machine, au redémarrage, si l'antivirus bippe, fais lui ignorer et désactive-le s'il gêne.

Il t'a dit qu'il avait trouvé un rootkit ou pas dans le message ? Là c'est mieux en tout cas. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ces fichiers ne contiennent pas d'informations personnelles, ce sont les fichiers nuisibles/malveillants des infections qui ont été retirées par MBAM. Ne s'agissant que de programmes malveillants, et non de documents personnels qui auraient été modifiés ou altérés, il n'y a pas d'information sur toi dedans (voir le post 13, ce ne sont que des fichiers nuisibles). Récupérer des échantillons de fichiers infectieux permet de mieux faire détecter l'infection en amont : avant qu'elle n'atteigne les machines ou que le virus ne s'exécute et s'installe. Souvent les antivirus ne sont pas assez réactifs sur tous les fichiers, tu l'as vu avec Avast, incapable de traiter seul l'infection en question ou d'avoir reconnu le premier fichier qui l'a introduit sur ta machine. Quand je récupère des fichiers de ce type (le premier infecteur), je les envoie aux éditeurs comme Alwil (éditeur d'Avast) et d'autres qui ne reconnaissent pas encore le fichier et ne protègent pas bien leurs utilisateurs. Cela permet d'améliorer les antivirus et éviter plus d'infections. Un peu comme le don du sang pour les groupes rares, on ne fera pas de clones via ton ADN, mais ça peut servir. Cela dit, si tu ne souhaites pas le faire, c'est ton choix et je n'insisterai pas, pas de problème.

Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscriptLib.txt depuis ce site : http://senduit.com/a11c7c Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscriptLib sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ne te fais pas avoir une 2ème fois, surveille bien ce que tu télécharges et les sites où tu vas.

Avant ça, je voudrais récupérer des fichiers infectés pour analyse et aider les antivirus. Si tu sais faire un Zip (ou rar ou autre compression), voici comment faire : Va dans : C:\Documents and Settings\< ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware < ton comtpe > c'est le nom de ton compte utilisateur, celui que tu utilises habituellement. Zippe (ou RAR) le dossier nommé "Quarantaine" et dis moi combien pèse le zip.

Ok, pour Gmer, je poste ça pur toi, mais aussi et surtout pour les lecteurs occasionnels qui devraient créer un topic à eux plutôt que de tenter des trucs dangereux sans encadrement. Catchme, pas de problème, laisse. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Actuellement, ça ne craint pas tant que tu es sur des sites clean. Pas de messages d'erreur, de symptômes comme ceux du début ? Il faut sécuriser, et on va s'y employer.

Il y a de la vilaine bébête. On va s'en occuper. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

HijackThis ne montre pas tout, mais ce qui est là est ok. Est-ce que la machine tourne bien, correctement ?