Falkra

Rien de bien méchant. L'impossibilité d'installer Avast n'était pas forcément liée à un malware. A part ça la machine tourne bine ou il y a d'autres symptômes infectieux ?

Rien de spécial là dedans, et je vois Antivir : plus besoin d'Avast (et même : tu y gagnes). Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Bonjour à tous, lost j'ai viré ses restes (inactifs) pendant la désinfection. Ctfmon.exe vient de MIcrosoft ezt sert à l'affichage des caractères asiatiques (pour faire court). Tu peux empêcher le retour de CTFmon.exe au redémarrage en faisant la manip décrite, et si les lignes restent dans Hijackthis, les supprimer après avoir effectué ladite manip. C:\Program Files\AOL 9.0c\waol.exe ne me semble pas être un enregistreur de frappe mais un faux positif (erreur de détection) de Norton.

Bonjour, tu réponds à un post sans suite depuis mai 2008. Je t'invite donc à lire les dates des posts ainsi que le fonctionnement de la section : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Si jamais tu as besoin de quelques infos ou dun peu d'aide : Comment participer à un forum Retrouver ses messages

Ok, en fait c'est SubInAcl qui a changé les permissions, et RegAssasin ou Regedit auraient shooté ça, l'un ou l'autre c'est ok. Tu peux supprimer les fichiers batch (.bat) tu n'en as plus besoin. Supprime RSIT, et le dossier c:\RSIT Ta machine est ok d'après le rapport. Kaspersky, bien, c'est la version avec Firewall (d'après les rapports oui, c'est juste pour confirmation) ? Je vois un reste de BackWeb, fais sauter la ligne si ce n'est plus installé, d'après les rapports, il n'est plus là) :

Voici le bat3, j'ai oublié le lien dans mon post précédent : http://senduit.com/c8015e

Ca c'est normal, c'est une application ligne de commande, d'où le batch, à placer dans son dossier, lui aussi va faire très vite (ouvrir et refermer), mais il aura travaillé entre temps. Ces deux clés à la noix viennent probablement d'une vaccination d'un logiciel de sécu moyen.

Bonjour, oublie Avast, ça ne passera pas, et de toute manière, Avast n'est plus très bon hélas et corrige trop en retard les dernières infections. Poste un rapport HijackThis dans ta prochaine réponse stp. Si la bestiole de laisse le télécharger. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Bonjour, juste ça à virer, mais ce n'est pas infectieux en soi. Antivir tourne, on va voir s'il y a des planqués. Télécharge Security Check de screen317 et enregistre-le sur ton bureau. Double-clique sur Security Check.exe Suis les instructions affichées à l'écran (dans la fenêtre sur fond noir) on te demandera d'appuyer sur une touche. Pendant l'étape "DNS Vulnerability Check: / Vulnérabilité DNS", le processus peut te demander une connexion en sortie, donne l'autorisation s'il te plaît. Un document texte appelé checkup.txt va s'ouvrir automatiquement dans le Bloc-notes (Notepad); merci de poster le contenu de ce document.

Bonjour, la machine est en effet infectée. Spybot ? Il ne finit jamais le boulot. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Télécharge et installe SubInAcl (dans le chemin/dossier proposé) : http://www.microsoft.com/downloads/details...;displaylang=en Ensuite place et exécute ce petit batch dans le dossier où se trouve SubInAcl (C:\Program Files\Windows Resource Kits\Tools). Essaie de supprimer les clés après ça.

Ca va mieux là. Remets le nom normal de MBAM, et poste un nouveau rapport HijackThis stp.

OKi, impeccable ça.

Bonjour, un lien dans ma signature (le violet), pour aider à trier un peu. N'abusez pas de la partie registre de CCleaner (ça fait des dégâts parfois).

Tu choisis un taux de compression genre "maximal" quand c'est proposé, histoire que ça soit le plus petit possible.

ON va devoir bricoler, je te prépare de quoi bidouiller ça, il va falloir quelques outils.

Je voudrais être sûr d'avoir les fichiers avant le nettoyage. Je suis là demain matin aussi.

C'était préinstallé, peut-être ?2008, à force de mises à jour sans doute. A moins que ce soit en fait une version crackée (dont tu ne serais pas au courant).

Bien ça. Zippe/rar (compressé bien fort) stp les dossiers c:\qoobox et C:\_OTM Tu peux faire des Zip séparés, ou grouper si ce n'est pas énorme. Dis moi combien ça pèse, je te dis comment les envoyer. Ce serait pour récupérer les échantillons de bestioles et les envoyer à des éditeurs d'Antivirus (pour que ça aille plus vite chez les prochains infectés). Ensuite on nettoie et bingo.

Ca roule. On nettoie peinard. Tu sais faire des ZIP/RAR ?

Quelle manie de lancer sans que ce soit demandé des tasa de trucs, après on s'étonne que ça mette 500 posts... écoute franchement, c'est problématique à la longue.Bien sûr il t'a trouvé la quarantaine de combofix pleine de saletés, et ce n'est pas pratique là, du coup. Si j'ai beosin d'échantillons du truc, ça rajoute des manips, etc. Ne démarre plus rien sans que ce soit demandé (bis). Là est-ce que la machine est normale ?

Ok, Menu démarer, exécuter, regedit. Il faut déplier les petit + dans la colonne de gauche. En fait on ne va pas quitter la colonne de gauche. Déplie jusqu'à trouver : HKEY_CLASSES_ROOT\CLSID\{a95b2816-1d7e-4561-a202-68c0de02353a} Et le déplier aussi, il faut faire ensuite un clic droit sur {a95b2816-1d7e-4561-a202-68c0de02353a} et faire supprimer, vois ce que ça dit. Si ça ne suffit pas, fais clic droit, et "autorisations" pour voir qui a droit ou pas, et obtenir les droits. Ta session doit avoir les droits administrateur, sinon. Pareil pour : HKEY_CLASSES_ROOT\CLSID\{11a69ae4-fbed-4832-a2bf-45af82825583}

Ca a une bonne tête là. Télécharge et double clique sur fix.reg pour l'ajouter au registre, confirme quand demandé : http://senduit.com/634b63 Ca finit de réparer.

Tu as bien copié collé le nom exact, sans saut de ligne, et complet, dans RegAssassin ?

RSIT, ça. Ne poste que le log.txt (contrairement à ce que tu vas lire ci dessous). Ne poste pas info.txt (pas besoin). Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.