Falkra

Gmer n'a pas apprécié tout ça, mais a pu faire le boulot. Fais à nouveau un scan Gmer, avec les mêmes options (files/registry/services) que précédemment stp, et poste le rapport. Ceci ne devrait pas provoquer d'écran bleu (comme avant quoi).

Ton rapport est ok, est-ce que les symptômes ont tous disparu ?

J'ai le fichier. M'a pas l'air très net, c'est ok. Poste un nouveau rapport HIjackThis stp.

Re. Pour ces questiosn de drivers, vois dans la rubrique hardware du forum, tu y trouveras plus de réponses certainement.

On va faire autre chose. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

On le vire. Voici un nouveau script pour OtMoveIt :processes explorer.exe :files C:\autorun.inf D:\autorun.inf E:\autorun.inf C:\Love.exe C:\RECYCLER\S-1-5-21-1614895754-343818398-725345543-1006\Dc1.exe E:\Love.exe E:\WINDOWS\system32\Amoumain.exe E:\WINDOWS\system32\Love.exe E:\WINDOWS\Prefetch\Amoumain.pf E:\WINDOWS\Prefetch\love.pf :commands [start explorer]

OK, nettoyons ce qui est indésirable. Télécharge Gmer.bat depuis ce lien : http://senduit.com/3a0321 Place-le dans le même dossier que Gmer. Ce script va piloter Gmer pour nettoyer les saletés. Quand tu vas le lancer, ça fera disparaître le bureau, un peu comme combofix, c'est normal. Rapidement, un redémarrage sera proposé, il te suffira d'appuyer sur une touche quand demandé.

Quel message d'erreur donne foxscan ?

Un vieux reste, héhé. Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Lance Gmer.exe par clic droit, exécuter en tant qu'administrateur. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Files Registry et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Je vais te demander 2 rapports. FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées. -------- Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ok, et je comprends, mais là c'est du lourd, ta bestiole, et je dis ça pour que tu sois au courant des risques, surtout avec ComboFix (infos, si tu veux creuser la question). Pas pour t'embêter, moi non plus. Il y a des restes, mais inactifs. bitDefender devrait se tenir tranquille, normalement. Je vois que tu as Malwarebytes, on va faire un scan préventif. Lance MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ok, n'en rajoutons pas. Pour virer les fichiers temporaires et les caches de navigateurs, oui. Ccleaner fait des tas de trucs en plus pas tous utiles, et pas toujours sans risques (le nettoyage de registre par exemple, ça ne fait pas gagner en performances contrairement à ce qu'on imagine, et il y a des risques). MBAM, ok, très bien. Fiable. C'est vrai, j'en suis conscient, et c'est somme toute assez logique. Donc fais lui la lecture, éventuellement et expique pourquoi, au moins il saura ce qu'il fait. Adobe reader pas à jour, par exemple, il y a eu une faille il y a quelques semaines, où il suffisait de survoler à le souris un PDF piégé dans l'explorateur windows pour être infecté, en cas d'exploitation de la faille (sans parler des PDF reçus par mail). Ca a toujours l'air un peu fumeux ce coup de "faites vos mises à jour", mais ça peut éviter bien des soucis. Très concrètement, si tu peux lui faire quelques grosses mises à jour de programmes, ça sera toujours ça de gagné, même si lui n'en fait pas forcément après, c'est mieux que rien. Pour Flash, héhé, c'est pratique ça, et on en parle trop peu. Kasperky est très bien, pour ça et bien meilleur en détection ; par contre il est payant (comme BitDefender d'ailleurs). Gaffe à bien prendre la bonne version, ce n'est pas toujours d'une clarté exemplaire tout ça, sur les sites. Teste la démo d'abord, pour être tranquille.

Très bien ça. Mais dis donc, tu as djéà utilisé combofix plusieurs fois (ce matin ?), pas étonnant qu'il se passe des choses inhabituelles ! Normalement, tout aurait dû partir d'un coup, je pense que tes manips ont perturbé le processus. On ne doit jamais utiliser combofix sans supervision... c'est aussi pour ça et pour d'autres raisons. Utilise de la même manière ce 2eme script (CFscript2) : http://senduit.com/e5d72d Et poste le rapport stp. Ne prends plus d'initiatives, et ne te fais suivre que sur un forum, sinon ça va créer de nouvelles difficultés.

Ok, bah laisse-le alors, tu as bien fait de me préciser ça (la partie réseau). Parfait, pour googletoolbar. Est-ce que cette version de l'antvirus incorpore un pare-feu, ou il y en a un via le réseau/routeur ? Tu peux garder ATf-Cleaner, si tu veux. Tu peux garder MBAM, il t'a été très utile sur cette machine, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il ne gênera pas l'antivirus ou un autre programme. Tu peux passer à IE8, si ce n'est pas à paramétrer par un admin réseau : http://www.microsoft.com/windows/internet-...er/default.aspx Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tuto JavaRa : http://www.libellules.ch/tuto_javara.php Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu as déjà marqué résolu.

Ne t'affole pas, la moitié des lignes de Gmer sont légitimes. On va traiter ça tranquillement, sans prendre de risques. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/4f4341 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix (pouet.exe) comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attends lâche catchme et l'autre antivirus, là ça empêche de désinfecter, en fait. Je rappelle au passage que les résultats de CF et Catchme sont à interpréter : ne supprime rien tout seul, ça peut être très dangereux pour ton OS. Je regarde les rapports.

Ok, essaie ce lien de secours, il peut être un peu long, et le fichier setup sera renommé, mais c'est normal.

J'ai lu un peu vite. Bon, pas génial comme antivirus, cela dit. Tout ça est clean là. Plus de symptômes visibles, de ton côté ?

Bonjour, bienvenue sur le forum. Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages c'est une grosse bête ça, mais on va en venir à bout. Par contre, méfie toi des cracks et sites douteux, elle a pu venir par là, très probablement. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

L'avantage d'ATF cleaner c'est qu'il n'y a pas de rapports ! Ca va mieux dis, et ça se voit. Nettoyage de restes et petit allègement, au passage ! Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Je ne vois pas d'Antivirus ? C'est mal. Je te conseille d'installer Antivir gratuit (disponible en français maintenant) et bien efficace, en restant léger. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php La v9 en anglais est là aussi : http://www.free-av.com/en/download/download_servers.php Après ça, refuse le scan complet proposé, on en fera un nous-mêmes, je te posterai les infos. On a presque fini.

La vache, ça c'est une récolte ! Redémarre la machine, si pas déjà fait, et purge les caches avec ATF-cleaner, comme suit : Télécharge ATF Cleaner (clique) par Atribune. Double-clique sur ATF-Cleaner.exe pour lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique sur Firefox en haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite. Si tu utilises le navigateur Opera : Clique Opera en haut et choisis : Select All Clique sur le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique sur Exit, dans le menu principal, pour quitter le programme. Ensuite, poste un nouveau rapport HiajckThis stp, ça doit aller mieux, remarque, côté pub.

Ok, utilise MBAM avec.

Bonjour, quel est le nom de virus détecté ? Bagle/Beagle Virut/Scribble ?

Si. Je te poste les infos pour m'envoyer le zip, par MP.

Tout à fait. Il vaut mieux attendre la fin de désinfection pour réactiver la restauration système. Attention, on trouve les deux noms parfois : E:\WINDOWS\system32\Amoumain.exe E:\WINDOWS\system32\Amounmain.exe Envoie-les à virustotal, les deux, si windows les trouve (tu peux copier coller la ligne dans le boite de dialogue parcourir de VT). De toute façon, BitDefenr n'est pas un modèle ni une référence, loin de là !