Falkra

Refais le scan et shoote les tous les deux. Poste le rapport MBAM stp, suivi d'un rapport RSIT simple (il ne fera pas le 2eme : normal). On avance, on est en train de les avoir.

Ok. Sais-tu manipuler Regedit, l'éditeur de registre de Windows ?

Ca roule, ce n'est effectivement pas du Vundo, et ça ne craint pas grand chose. On va les shooter, mais les clés sont bloquées, donc on va prendre un outil spécial, à ne pas utiliser en dehors de cas problématiques. Télécharge RegAssassin : http://www.malwarebytes.org/regassassin.php Double clique dessus pour le démarrer, et accepte "l'agreement". Ensuite tu as ça : Laisse les cases cochées. Copie-colle cette clé là où tu peux écrire : HKEY_CLASSES_ROOT\CLSID\{a95b2816-1d7e-4561-a202-68c0de02353a} Et fais Delete. Même chose pour cette clé : HKEY_CLASSES_ROOT\CLSID\{11a69ae4-fbed-4832-a2bf-45af82825583} Confirme moi que l'opération s'est bien déroulée.

Un bon vieux rootkit des familles, mal détecté.

Mets ça dans OTM : De toute façon, j'ai trouvé le machin qui régénère, je pense que ce n'est plus qu'une question de temps (mais il faudra combofix encore).

Attends, je te fais un script plus gros.

Attends, on va faire autrement gaffe aux sauts de ligne, insère bien les chemins, comme avant. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe c:\windows\system32\hp32_nword.exe c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

On en a eu un, mais l'autre truc reste. Poste ça sur VirusTotal stp : c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe Ca aussi c'est lui pour l'install a priori shoote à la main si besoin : c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe

Quel chemin il indique pour install.exe ? (celu qu'il ne trouve pas)

On le remettra après, ne t'en fais pas.

Oui, il y a 2-3 trucs pas nets. Après nettoyage, tu pourras le réinstaller tranquillement.

Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscriptJP2.txt depuis ce site : http://senduit.com/223cf7 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscriptJP2 sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Un lien pour les 2008, le lien en français n'est pas à jour.

Ok, je vais voir ça avec le forum de MBAM, si c'est un faux positif, ce sera corrigé. J'ai posté, en tout cas ça ne craint rien, pas de souci, les clés sont vides ou presque, de toute façon, et on ne voit ni Vundo ni toolbars atroces sur ta machine. Je te tiens au courant.

Tout est normal sauf ça : Essaie ceci pour l'erreur 1844.

Ok.

Bonjour, Virut peut être téléchargé et mis en place par d'autres infections (qui peuvent s'attraper sur des sites piégés ou par des attaques de failles non corrigées), ce qui peut l'amener à infecter une machine indirectement : sans qu'on aille soi-même chercher un infecteur de virut. C'est plus rare, heureusement. De manière générale, il est fortement conseillé d'installer un pare-feu avant de connecter la machine à internet, surtout si elle n'est pas à jour.

Oui, mais logiquement il faut tout virer d'un seul coup et en une seule passe, tout en remplaçant le fichier système, sinon tout régénère au démarrage suivant.

francoiisp, ouvre plutôt un sujet dans la section désinfection.

Oui. Ce serait dommage de formater, ça prend un peu de temps, surtout quand on touche aux ficheirs vitaux de windows, ça complique les choses. Méchants non, ce sont des trucs bien coriaces.

Les CLSID ne sont pas attribuées qu'à du Vundo, pas d'inquiétude; Je vais remonter l'information. Mets à jour MBAM, puis ferme le. Relance MBAM via menu démarrer, exécuter et cette commande : mbam /developer Ca te fera un rapport avec plus d'infos, poste-le dans ta prochaine réponse. ------------- Télécharge aussi ce petit batch et démarre-le, poste le rapport qu'il va produire (lecture de clés de registre) : http://senduit.com/b8cdc4

Justement, c'était avant. Fais moi signe quand tu auras accès à la machine, et on devra faire une 2eme passe avec combofix aussi.

Clean. Mets à jour MBAM et fais un scan (dernière base de données au moment du post : 2568), poste le rapport et vois si ça revient.

Bonjour, bienvenue. Malwarebytes n'est pas à jour (base de données) depuis plusieurs jours. Mets à jour avant chaque scan. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Ensuite télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Oui, autorise tout, et autorise l'accès à internet si demandé.