Falkra

Poste le rapport combofix quand il est ok. Je t'ai passé un fichier clean XP SP3.

Un de tes fichiers vitaux est infecté. Il faut le remplacer par une copie propre. En voici une, télécharge ce fichier sur le bureau : http://www.libellules.ch/ntfs.sys Laisse Antivir supprimer ntfs.sys figaro et les autres. XP va hurler, copie le fichier ntfs.sys depuis ton bureau vers c:\windows\syste32\drivers Juste après ça, relance combofix et poste le rapport.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages tes DNS sont infectés. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Grâce au petit batch. On vérifie. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\drivers\ntfs.sys Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

EoRezo fait partie des douteux : c'est un réseau de distribution de programmes normaux/classiques, mais mis à disposition avec des installateurs modifiés à des fins de collecte statistiques... et ça installe au passage quelques saletés (toujours dans cette optique de collecte de données), et ça détourne les navigateurs. Ne passe plus par leur(s) site(s). Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace. Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tuto JavaRa : http://www.libellules.ch/tuto_javara.php Et bien sûr, Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox --------- Télécharge ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure. http://pc-system.fr/TC/ToolsCleaner2.exe * Enregistre ToolsCleaner2.exe sur le Bureau. * Double-clique dessus, puis clique sur Recherche --> Le programme va chercher les utilitaires installés ------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal ! * Copie-colle le contenu du rapport qui apparait dans la fenêtre blanche. Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, choisis "Suppression" afin de les supprimer. Ferme le programme en cliquant sur "Quitter ". Poste le rapport qui se trouve ici >>> C:\TCleaner.txt

Ca a marqué "un fichier copié" sur la fenêtre noire à l'arrière plan, logiquement. Tu as toujours le message windows uqi réclame son fichier ?

Argh, ne redémarre pas hein, c'était le truc à ne pas faire. Tu viens de lui faire virer un driver NTFS important (infecté, sans doute, mais vital pour windows). Il faut en restaurer un sinon tu ne démarreras plus (ou alors on entre dans des procédures bien pénibles). Donne lui le CD SP3 si tu l'as, sinon exécute ce fichier batch : http://senduit.com/81583c Il te fera un rapport à poster, au passage, et devrait restaurer une copie du fichier.

Clean. Ne touche pas à combofix (n'essaie pas de le virer, on va faire ça avec une manip spéciale ou deux). Laisse tourner un peu et vois si les symptômes ont tous disparu, ensuite on nettoie ce qu'on a utilisé.

C'est curieux, surtout si c'est l'antivir gratuit, mais tant mieux. Oui, ça revient au lieu d'abdiquer et partir à la poubelle. Pour gagner du temps, on va faire quelques vérifications de plus. Les produits de McAfee, je les trouve lourds, et très bof côté efficacité. Bon pour du PC d'entreprise, comme Norton quoi. Je ne sais pas pour le scan, mais il doit y avoir moyen de bricoler.

Ca a une meilleure tête. Ca tourne mieux ? Poste un nouveau rapport HijackThis stp.

Forcer, si c'est grisé, pas trop. En installer un autre oui, si les restrictions en vigueur sont ok. Il n'y a pas de firewall via une passerelle réseau ? Tu peux toujours tenter d'installer Online Armor free, mais ce n'est pas garanti que ça passe : http://dl1.online-armor.com/downloads/Onli...up_Free_FRA.exe Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

La machine est surinfectée, et par plein de trucs là. Tout ça vient du p2p, ça grouille dans la machine. faux moteur de recherche lo.st, eorezo, sans parler des malwares à la pelle. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscriptEP2.txt depuis ce site : http://senduit.com/6d1b25 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscriptEP2 sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Le pare-feu, ça peut être lié, mais ce n'est pas certain.

Rien de méchant ici. On va faire un scan en ligne (attention ça peut être long 1h+) Kaspersky avec Internet explorer impérativement. Clique sur Accept Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. clique une nouvelle fois sur "Accept" Les bases de mises à jour vont s'installer, patiente un moment Clique sur Next. Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Processes, Files , Registry et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Ha oui ok, tu as la grosse bête du moment. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Ca régénère, ça pue le rootkit. Télécharge RootRepeal Installe RootRepeal , démarre-le et clique sur *Files* Onglet "Général->Only suspicious .. Clique sur "Save Report" Lance le scan et poste le rapport stp.

Merci à toi, pour ce message sympa.

Bien, très bien même. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscriptJP.txt depuis ce site : http://senduit.com/8628df Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscriptJP sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Il y a des fichiers (nombreux) qui ont une assez sale tête. Rien d'actif par contre, apparemment. Télécharge ce fichier reg et double clique dessus pour l'ajouter au registre, confirme quand demandé : http://senduit.com/921229 ------------------ Après télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Processes, Files , Registry et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Ok, ne touche plus à combofix, c'est un outil dangereux. Les anti rootkits peuvent lister des éléments légitimes, qu'il faut savoir différencier, là tu prends des risques, et si tu viens ici, n'est-ce pas justement pour être guidé ? En plus, comment je fais pour savoir ce que tu as viré ? Je vais avoir des rapports qui mystérieusement n'indiquent plus rien de cohérent si des choses se mettent à disparaître. Ne prends pas d'initiatives pour l'instant stp, ce ne sera que plus facile pour tous. Si tu as le rapport d'AVG AR, poste-le. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

C'est peut-être à laisser faire, dans ce cas, tant que ça ne pose pas de problème. Norton est du genre à s'autoconfigurer en permanence. Laisse passer un peu de temps pour voir si ça tient. Tiens moi au courant, de toute façon je surveille le sujet.

Il doit y avoir une raison à ça, mais est-ce que ça génère des erreurs ?

Bonsoir, essaie une mise à jour manuelle d'Antivir dans un premier temps.