Falkra

Bonsoir, bienvenue. Si jamais tu as besoin de quelques infos ou d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Avast et spybot ne sont plus très bons, donc on va vérifier ça de près. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Ca veut dire éviter les sites de contenu douteux, contenanx souvent des scripts ou contenus piégés : warez, xxx, réseaux p2p, etc... Pour les recettes miracles, il n'y en a pas, mais quand l'utilisateur ne souhaite pas approfondir plus que "ce truc, c'est bien ou pas", on peut aussi lui répondre, tout en lui conseillant des logiciels accessibles et efficaces. Si l'utilisateur souhaite aller plus loin, on peut aussi détailler. Question d'adaptation donc, car tout le monde n'a pas envie de se pencher des heures sur la question. Beaucoup de gens conduisent sans savoir en détail ce qui se passe entre la clé de contact et les quatre roues, ils veulent juste "une voiture", sans plus. Idem ici, avec des logiciels.

C'est normal, le moteur de recherche xeoo dans firefox ? Fais gaffe, OtMoveIt n'est pas un outil d'analyse, et les scripts donnés sont pour une seule machine spécifique. Idem puor smuitfraudfix, pas besoin ici. Il y avait une clé USB infectée, celle connectée à P:\ quand tu as tout branché. Rebranche celle là pour ce qui suit, sinon dans le doute, tout. :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Le rapport est ok, voici quelques conseils pour gaer une machine propre et éviter les infections. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Tu as Kaspersky, en antivirus et firewall, très bien. Malwarebytes aussi, très bien. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Parfait. Poste un nouveau rapport HijackThis stp. IE va mieux, ou c'est pareil ?

Fais-le avec accès au net, et à tes clés USB.

Hé, j'étais au boulot... je prends sur mon temps libre pour répondre, et je dois répondre à plein de gens. Zen. D'ailleurs je te réponds. Aucun logiciel n'est capable de ça. Un bon antivirus fait bien son boulot, mais pas l'impossible. Si l'utilisateur a des habitudes de surf saines (sans risques), il ne se fait pas infecter. L'antivirus n'est pas une autorisation de faire n'importe quoi, c'est un garde-fou en cas de pépin ponctuel.

Tu ne l'as pas laissé installer la console de récupération (pourtant, c'est demandé). A la prochaine passe, dis oui, et autorise tout stp, ce sera une sécurité de plus. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Branche tes clés USB et autres supports amovibles (disques durs externes, etc) avant ce qui suit, laisse-les branchées jusqu'à ce que le rapport de combofix apparaisse, et que tout soit fini. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/bbae36 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonsoir, il y a une infection, mais ce n'est pas forcément cela qui pose problème à IE. En tout cas on va virer ça. Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance le fichier téléchargé par clic droit, exécuter en tant qu'administrateur. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Quand tes clés seront ok, poste un dernier rapport HijackThis, et on finit.

Le rapport est ok. Antivir + MBAM, très bien. Tu peux passer à IE8 : http://www.microsoft.com/windows/internet-...er/default.aspx Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1225 Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+. N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Autre option, en français, Online Armor free Tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Si c'est fait, ça doit être bon, pour ça. Poste unnouveau RSIT (il te fera un seul rapport), garde HijackThis sous le coude, et on termine.

Pour l'analyse des mails, on en a parlé plusieurs fois. C'est un bon argument commercial, mais dans la pratique, ça ne change pas grand chose. L'e-mail est un vecteur de diffusion de virus et autres très utilisé, partant de ce constat, les éditeurs suivent et proposent des solutions dédiées. Un scan pop3 (le protocole qui rapatrie les mails) écoute les ports de communication concernés (110 par défaut, pour la réception). Quand quelque chose passe dans ce canal de communication, il avertit dès qu'il identifie une menace. L'utilisateur gagne du temps : le nuisible est bloqué tout de suite, avant même que le mail ne se trouve dans votre client mail. Si on se place du côté de l'utilisateur, et non du côté technique et théorique, cela rassure de savoir que l'on a quelque chose en plus. En revanche, sans ce module dédié, le module résident de l'antivirus, correctement paramétré, réagira dès que l'utilisateur se place dans une situation vulnérable : toucher à une pièce jointe infectée, essayer de la télécharger sur le bureau ou de l'ouvrir directement. Vous êtes protégés quand même. Seul ce qui vous menace concrètement et réellement est intercepté, au moment critique. Bien sûr votre module résident doit être configuré pour scanner les fichiers sur lecteur et écriture/création, c'est le cas, par défaut sur la plupart des antivirus.

S'il n'y a plus de symptômes et que tu as déjà appliqué les conseils de prévention, tu peux marquer résolu, en éditant le tout premier post (édition complète) ce qui rend le titre modifiable. En cas de problème ou de nouveau symptômes, n'hésite pas à faire signe.

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Supprime RSIT, et le dossier c:\RSIT Supprime OtMoveit et le dossier c:\_Otmoveit Voici de quoi nettoyer et surtout vacciner/protéger tes clés USB http://forum.zebulon.fr/index.php?autocom=...p;showentry=540 (par Gof).

Tu peux désactiver le pare-feu windows si comodo fonctionne.

Ok. OtMoveIt a déplacé le dossier, ça, c'est bien. Est-ce que tu constates encore des symptômes sur la machine ?

Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\Windows\system32\x64 :commands [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

J'ai l'impression que tu as déjà utilisé (+/- au pif) plein d'outils spéciaux, ça ne rend pas la tâche facile. Tu as peut-être une clé usb infectée, branche-la (elle et les disques durs amovibles, et les autres supports amovibles, branche toutes les clés usb, si tu en as plusieurs). Laisse-les branchées pour ce qui suit (redémarrage compris). Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Bonsoir, ton IP peut être bloquée parce qu'un malin a joué avec sa propre IP, et tu as récupéré cette IP à ton tour, donnée par ton FAI, si tu n'a pas d'IP fixe. Si c'est le cas, il te suffit de redémarrer le modem (débranche, attends un peu, rebranche) pour avoir une nouvelle IP. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Ok, on laisse combofix de côté pour le moment. Fais un nouveau RSIT stp, il ne fera qu'un rapport, c'est normal.

Posyte c:\combofix.txt, si présent, ou c:\bug.txt, si présent aussi, il faut qu'on tire ça au clair.

Le rapport précédent montre deux choses : - tu dis avoir supprimé les cracks, mais ils sont encore là. - l'antivirus détecte une infection de type autorun (supports amovibles), et c'est justement ce qui infecte ta machine. Il faut se rendre à l'évidence, ce sont tes cracks qui t'ont infecté. Je le disais au début, mais pas pour t'embêter, j'espère que tu me crois - un peu plus - maintenant. Si tu gardes ça, tu vas réinfecter ta machine. Sans parler des clés usb, qui ont pu infecter d'autres machines, au passage (machines qu'il faudra nettoyer sinon tu vas réinfecter ta clé avec). Il faut vraiment te débarrasser de ces cracks.

Ce sont de vieux restes, ici. MBAM est plus efficace que Spybot et ad-aware, en tout cas. Si tu veux purger la restauration système, (vider les points de restauration) il suffit de la désactiver, puis la réactiver, mais on perd les points de restauration anciens. Voici un tuto, si tu veux le faire : http://www.libellules.ch/desactiver_restauration.php

Il y a des fichiers aux noms curieux, je veux en avoir le coeur net. Ok, poste le rapport quand il sera prêt.