Falkra

Bonsoir, ton rapport n'est pas infecté. En cas d'optimisation nécessaire, je bascule ton sujet vers l'autre section.

Bonjour, bienvenue. Ton rapport est chargé, mais ne montre pas d'infection active. Tu reçois des spams sur ta boite mail ? Si oui, ça ne vient pas d'une infection. Confirme-mo çaç (ou non).

Tu as fait ce qu'il fallait pour MBAM. Si le cas se reproduit, je peux les contacter directement sur leur forums (FP ou autres), et te faire faire des rapports étendus pour tester les FP, donc n'hésite pas. Il y a eu pas mal de FP, car ils ont intégré énormément de choses sur les rogues ces derniers temps. La version 1.35 l'indique d'ailleurs dans le changelog.

Ce sont bien des saletés, téléchargées pour la plupart. Sinon oui, les fichiers MP3 piégés existent bien. Efface ces saletés, et arrête de télécharger des trucs piratés piégés, ta machine se portera mieux, promis. Ce ne sont pas des faux positifs. Désactive, puis réactive la restauratin système, pour purger les points : http://www.libellules.ch/desactiver_restauration.php

Sil 'antivirus les bloque, il se peut que ça n'apparaisse pas dans les rapports que j'ai sous les yeux. Quels fichiers, quel nom de virus ?

Bonsoir, ça peut être un FP. restaure le fichier, depuis la quarantaine de MBAM (onglet quarantaine). Mets à jour MBAM et rescanne, vois s'il le détecte encore. Edit : oui, il faut le restaurer d'abord, l'avais-tu fait ?

Super ! Bon surf, et bonne soirée.

Poste un nouveau rapport HijackThis stp.

Je déplace vers la section analyse/désinfection, à la demande de O'Jack, reçue par MP.

Ok, n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Mana68, je t'invite à créer ton propre sujet si tu veux que ta machine soit analysée. Si je comprends bien : Exactement, c'est tout à fait ça. Ensuite par prudence, on peut faire un de ces scans complets de temps à autre, ou en cas de doute. Pas exactement : le pare-feu règlemente l'accès à internet, pour les bons et mauvais programmes, pour tous. A toi ensuite d'accorder ou non cet accès au net, ou l'envoi de données depuis ton PC. Toutes les semaines c'est bien, l'analyse rapide prend 4 minutes sur ma machine, par exemple, et suffit, l'analyse complète est rarement nécessaire. Mets-le bien à jour avant de scanner, en cas de doute.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : (ce ne sont que des restes, ici) ----- Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1225 Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+. N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Autre option, en français, Online Armor free Tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 --------- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Tu peux passer à IE8 : http://www.microsoft.com/windows/internet-...er/default.aspx Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable). [

Logiquement, c'est bon, plus de pubs, plus de saletés : surfe tranquille avec Firefox. Supprime OtMoveit et le dossier c:\_Otmoveit Tu peux supprimer FoxScan. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Poste un dernier rapport HijackThis, que je te prépare les conseils de préventions et mises à jour. @ toute

Oki, il en manque un. Relance OtMoveIt comme l'autre fois, et copie-colle ceci à la place, dedans. Avant de lancer les opérations avec le bouton Moveit!, ferme Firefox. Tu pourras l'ouvrir après, bien sûr (et vérifier, sur wikipedia). :processes explorer.exe :files C:\Program Files\Mozilla Firefox\components\mawxqvpuhn.dll :commands [start explorer]

Oki, ferme Firefox, refais un rapport FoxScan et poste le dans ta prochaine réponse stp, avec un rapport HijackThis aussi.

Très bien. Sinon il suffit de fermer Firefox avant de lancer l'opération, mais ça doit aller côté manip, tu as bien fait les opérations. Si tu as fait aussi celles de prefs.js, ça va mieux là, Firefox ?

Le rapport est ok. ----- Une de tes infections, Magic Control, s'attrape spécialement en installant un de ces logiciels : 1. go-astro 2. GoRecord 3. HotTVPlayer / HotTVPlayer & Paris Hilton 4. Live-Player 5. MailSkinner 6. Messenger Skinner 7. Instant Access 8. InternetGameBox 9. Official Emule (Version d'Emule modifiée) 10. Original Solitaire 11. SuperSexPlayer 12. Speed Downloading 13. Sudoplanet 14. Webmediaplayer (sauf celui provenant de azertysite.new.fr/) 15. Sur le site games-desktop.com (ne PAS y aller). 16. Favorit (via des setups normaux, téléchargés sur des sites non officiels) 17. Funky Emoticons 18. Games-AttacK 19. Original-Solitaire Ne jamais (ré)installer. ----- Les autres infections sont évitables, je te laisse lire les sujets de prévention (voir plus bas), prends ton temps, c'est dense tout ça ! ----- Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Désinstalle Navilog via Ajout/suppression de programmes. Supprime OtMoveit et le dossier c:\_Otmoveit Par contre, je ne vois pas d'antivirus, ni de firewall évolué. Il faut un antivirus, on conseille en gratuit Antivir (Avast n'est plus dans le coup). Pour Antivir voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php Sinon la V9 est sortie (mais en anglais seulement, pour le moment) : http://dlce.antivir.com/package/wks_avira/...personal_en.exe ---------- Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1225 Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+. N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Autre option, en français, Online Armor free Tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 ---------- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Tu peux passer à IE8 : http://www.microsoft.com/windows/internet-...er/default.aspx Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection, fais à ton rythme. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Très bien ! Poste un dernier rapport HIjackThis stp. Tout doit être ok là normalement. Plus de problèmes, vu depuis ton côté ?

Ok, presque fini ! Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\Program Files\EoRezo :reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.google.fr/" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Eoengine] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Softwarehelper] [-HKEY_LOCAL_MACHINE\Software\EoRezo] [-HKEY_CURRENT_USER\Software\EoRezo] [-HKEY_CLASSES_ROOT\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}] [-HKEY_CLASSES_ROOT\AppID\EoRezoBHO.DLL] [-HKEY_CLASSES_ROOT\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}] [-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho] [-HKEY_CLASSES_ROOT\EoRezoBHO.EoBho.1] [-HKEY_CLASSES_ROOT\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}] :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Ferme le navigateur Internet Explorer avant ce qui suit. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ferme Firefox. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\Documents and Settings\Proprietaire\Application Data\mozilla\firefox\Profiles\aesdxh2q.default\searchplugins\Yoog Search.xml C:\Program Files\Mozilla Firefox\components\nssnappyads.dll C:\WINDOWS\system32\mawxqvpuhn.dll :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Après cela, ne relance pas firefox, va dans ton profil : C:\Documents and Settings\Proprietaire\Application Data\mozilla\firefox\Profiles\aesdxh2q.default Localise le fichier prefs.js, ouvre-le par clic droit, ouvrir avec, bloc-notes. Recherche dans "prefs.js" : browser.search.defaultenginename : remplace "Yoog Search" par "Google" browser.search.defaulturl : rempalce "http://www15.yoog.com/search.php?q="'>http://www15.yoog.com/search.php?q=" par "http://www.google.fr/search.php?q="'>http://www.google.fr/search.php?q=" browser.search.selectedEngine : remplace "Yoog Search" par "Google" et enfin keyword.URL : remplace "http://www15.yoog.com/search.php?q=" par "http://www.google.fr/search.php?q=" Relance Firefox et vois ce que ça dit.

Parfait. Redémarre la machine (si pas déjà fait après suppression par MBAM), et poste un nouveau rapport HijackThis stp.

Bonsoir, voici quelques tutos pour ZoneAlarm : http://www.zebulon.fr/dossiers/29-configurer-zone-alarm.html http://securite-facile.ovh.org/zonealarm.php http://www.malekal.com/tutorial_zonealarm.php http://www.pcastuces.com/pratique/securite...l2/firewall.htm

Tu peux faire le scan MBAM, n'oublie pas de le mettre à jour d'abord, surtout ! Poste le rapport obtenu, et vire ce qu'il trouve (voir plus haut).

Ces personnes devraient jeter un coup d'oeil au rapport que tu viens de poster, qui contient des parasites actifs et nuisibles. Inutile pour le scan complet. Redémarre, et poste un nouveau rapport HijackThis stp. Ajoute aussi ce rapport stp : FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.

Ok, laisse tomber MBAM (provisoirement), on va débloquer ça. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).