Falkra

Ca doit être mieux en tout cas. Par prudence, je vais te demander 2 rapports. 1 ** Désactive tes protections résidentes (Antivirus, ...) tu les réactivera après le scan Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide) 2** Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Double-clique maintenant sur le fichier téléchargé. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Bonsoir, je dirige aussi une équipe (sur un autre site) utilisant Boinc, sur la grille World Community Grid, consacrée à la recherche médicale (avec des projets sur le repliement des protéines, la lutte contre le cancer et le sida, et le décrypthon, parmi d'autres). J'apprécie beaucoup ces projets et le fait que des équipes se créent (quelle que soit la grille) sur des forums. C'est chouette, ce que vous faites. Bonne soirée.

Bonsoir, (tiens, un avatar tiré d'une couverture de la grande antho de la SF, si je ne m'abuse) :P Oui, la fonction vaccination de spybot, si on l'utilise, ajoute des tas d'entrées au fichier hosts de windows, et ailleurs aussi, aux listes d'Internet Explorer et de firefox. Si ta navigation se trouve ralentie, on t'indiquera la manip pour supprimer ça.

Héhé, tu vois Antivir, la différence ? Pas mal non ? Passe à IE8. http://www.microsoft.com/windows/internet-...er/default.aspx Tu as fait le plus gros du boulot.

Le machin en question va flinguer tous les fichiers exécutables de ta machine, progressivement + la carte réseau (pas physiquement) ensuite tu ne démarreras plus, et il se propage via ta machine, en principe pas aux autres machines en réseau. Sauvegarde tes données perso (bis), mais pas les fichiers exe, scr, dll, etc... pas les exécutables ou les programmes.

C'était logique. Je vais te donner un dernier lien combofix, mais je pense qu'il faudra de toute façon reformater. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Mouais, de toute façon, ça ne sent pas bon. MBAM va refuser de se mettre à jour.

Tu n'as pas corrigé quoi que ce soit avec MBAM, ça marque no action taken. Si tu veux le faire, re-scanne et supprime ce qui a été trouvé, de toute façon, il n'es pas à jour, il te faut le 1.37 et la base de données v2223 minimum. Fais le scan Virustotal d'abord (c'est rapide). Après si tu veux (mais bon), mets à jour ta version de MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Oui, ça c'est une des bestioles. Poste le rapport MBAM, sinon on fera un test rapide, ci dessous. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\reader_s.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Le scan Kaspersky nous le dira, mais ça semble mal engagé, d'après les noms de fichiers en cause.

Aïe, je crains que tu aies Virut, une des pires bestioles en circulation. Si c'est le cas (on va vérifier), il n'y aura pas grand chose d'autre à faire que de reformater par contre (hélas) après avoir sauvegardé tes données perso. Fais un scan en ligne Kaspersky avec Internet explorer impérativement. Clique sur Accept Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X. clique une nouvelle fois sur "Accept" Les bases de mises à jour vont s'installer, patiente un moment Clique sur Next. Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier. Colle ce rapport dans ta réponse sur le forum.

Pas de souci, on peut shooter tout ça proprement. Très bien, mais justement il faudra la brancher avant de passer combofix, de toute façon, il va bien falloir la nettoyer, donc l'utiliser. Prends le temps qu'il faut, relis bien les infos sur combofix avant de l'utiliser, et poste le rapport quand il sera prêt. Ne t'en fais pas, ce ne sont pas des infections très très coriaces, si on n'en trouve pas d'autres. Pour svchost et les redémarrages, c'est potentiellement plus ennuyeux, mais on en saura plus d'ici quelques rapports. Paramètre les écrans bleus comme dit plus haut, ça donnera aussi plein d'infos. @ toute

Il y a plusieurs familles de bestioles tranquillement installées (entre 3 et 5 différentes, selon la façon dont on compte), bref beaucoup trop, de toute façon, il y en a partout. Une des propagations se fait par supports amovibles, clés USB, etc, mais a priori pas par réseau. Je te donnerai de quoi vérifier les autres machines aussi après, il faut d'abord nettoyer celle-là et les clés USB. On va pouvoir déloger tout ce beau monde, sans formater (si c'est la bonne version de la bestiole), ne t'inquiète pas. On peut en général récupérer les données avant.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages la machine est très infectée, et les supports amovibles (clés USB, etc) aussi. Ils ont pu contaminer d'autres machines aussi. Les autres messages d'erreur peuvent venir aussi bien d'infections que de problèmes matériels ou logiciels. On va déjà donner quelques coups de balai pour y voir plus clair. Branche tes périphériques amovibles (clés usb, disques durs externes, etc), sans les ouvrir, avant ce qui suit. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Le rapport est ok, plus d'infections. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Configure comme suit pour afficher les écrans bleus au lieu de redémarrer, si jamais les redémarrage que tu évoquais plus haut venaient d'écrans bleus, ça permet d'obtenir les infos : http://www.libellules.ch/dotclear/index.ph...dows-2000-et-xp ----------- Je te recommande un scan complet avec Antivir. Mets-le à jour d'abord (clic droit, Démarrer la mise à jour sur l'icône près de l'horloge). Une fois à jour, double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Controôler syst." à droite de "Dernier contrôle syst. intégral". /!\ Cela peut être bien long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Rapport, en fin de scan"). Si Antivir détecte des fichiers infectés, mets en quarantaine (choisis "Déplacer en quarantaine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller.

Super ! Bonne journée.

Ca a une meilleure tête, poste un nouveau rapport HijackThis stp. Ca tourne mieux ?

Après l'ensemble des manips, ok. Si une étape pose problème, poste et décris le problème (avec le message d'erreur s'il y en a un), on verra pour arranger ça. Ces manips sont importantes pour rendre ta machine moins vulnérable, et ajouter quelques années d'améliorations et de patchs.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Voici la suite des étapes, respecte bien l'ordre, car certaines étapes doivent précéder les suivantes pour que ça marche. 1) Il faut passer au SP3 de windows XP. (lien) Cette version s'installe bien sur un pc monoposte, et contient déjà le SP2. 2) Tu peux passer à IE8 après : http://www.microsoft.com/windows/internet-...er/default.aspx Là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. 3) Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

C'est parfait. Poste un nouveau rapport HijackThis stp.

Bonsoir, Zebulon participe activement au projet folding@home, que vous connaissez sans doute : http://forum.zebulon.fr/info-foldinghome-t162097.html (infos épinglées) http://forum.zebulon.fr/foldinghome-t44617.html (182 pages)

Le système ne présente aucune infection active. Pas d'antivirus clairement actif, mais des restes de Norton ? Je vois IncrediMail ou ses traces, c'est LE logiciel à éviter comme client mail. Problèmes, dans leur politique de confidentialité : Voir ici pour plus de détails : http://assiste.com.free.fr/p/logitheque/incredimail.html Extrait des conditions générales de IncrediMail : Si tu le souhaites, il est possible de transférer les mails contenus dans incredimail vers un autre programme. http://www.libellules.ch/transferer_depuis_incredimail.php

Ca oui, c'est la pile de la carte mère qui est à changer. Quand tu auras le temps, retire la pile, note les référence et mets-une autre pile neuve de mêmes références à la place. Tout ceci est à faire PC éteint. Ces piles se trouvent facilement, et ne coûtent pas cher. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\Program Files\EoRezo C:\WINDOWS\System32\1.exe c:\autorun.inf d:\autorun.inf :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RavMont"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}] [-HKEY_CLASSES_ROOT\Interface\{64F56FC1-1272-44CD-BA6E-39723696E350}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Eoengine] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Softwarehelper] [-HKEY_LOCAL_MACHINE\Software\EoRezo] [-HKEY_CURRENT_USER\Software\EoRezo] [-HKEY_CLASSES_ROOT\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}] [-HKEY_CLASSES_ROOT\AppID\EoRezoBHO.DLL] [-HKEY_CLASSES_ROOT\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}] [-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho] [-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1] [-HKEY_CLASSES_ROOT\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}] :services :commands [start explorer] [emptytemp] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Re. Ouvre un nouveau sujet avec ton rapport RunScanner, et ajoute aussi un rapport RSIT après. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport. Bonne soirée.

J'ai fermé l'autre sujet, les infos étaient pourtant claires : http://forum.zebulon.fr/index.php?s=&s...t&p=1388407