Falkra

Ce n'est certainement pas lié à IE8, puisque le changement de version n'a rien modifié. Essaie de désactiver la vaccination de Spybot. Pour cela, suis ces instructions : Ferme tes navigateurs. Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche : Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination. Confirme si demandé. Ferme Spybot. Vois si cela améliore les choses côté connexion. ----------- Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

IL faudrait une analyse complète, certains fichiers là sont normaux. A examiner rapport HijackThis. Programmes légitimes, sauf le dernier, si bien dans ce dossier (vérifier) MBAM ne le trouve pas ? Programmes normaux. A traiter. Poste moi un rapport HijackThis pour chacune de ces machines (sauf si indiqué programmes normaux) en leur attribuant un nom ou numéro, sinon impossible de s'y retrouver.

De rien, n'hésite pas à poser des questions.

Si le ocntneu de ces dossiers n'est pas connu de toi, il peut être à supprimer : C:\TeamScripT4 C:\Tgl0beSCRIPT

Tes fichiers, on dirait des scripts pour le logiciel Mirc (tchat) : Si jamais tu as besoin de quelques infos ou d'aide pour retrouver tes posts Retrouver ses messages

Ca roule. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Désinstalle Navilog via Ajout/suppression de programmes. Supprime Lop S&D et le dossier c:\LopSD -------------- Une de tes infections, Magic Control, s'attrape spécialement en installant un de ces logiciels : 1. go-astro 2. GoRecord 3. HotTVPlayer / HotTVPlayer & Paris Hilton 4. Live-Player 5. MailSkinner 6. Messenger Skinner 7. Instant Access 8. InternetGameBox 9. Official Emule (Version d'Emule modifiée) 10. Original Solitaire 11. SuperSexPlayer 12. Speed Downloading 13. Sudoplanet 14. Webmediaplayer (sauf celui provenant de azertysite.new.fr/) 15. Sur le site games-desktop.com (ne PAS y aller). 16. Favorit (via des setups normaux, téléchargés sur des sites non officiels) 17. Funky Emoticons 18. Games-AttacK 19. Original-Solitaire Ne jamais (ré)installer. - Il faut que tu fasses très attention lorsque tu installes des logiciels, notamment MSN/WLM Plus! (Messenger Plus! est installé), il y a des "sponsors" ou barres d'outils, des choses qu'on installe avec les programmes, et ce sont des infections. Exemple pour MSN Plus : Il faut surtout décocher cela lorsqu'on installe, et par défaut, c'est coché : si on ne fait pas attention, on est infecté. Pareil, ces programmes : à éviter. * Bitdownload * BitGrabber * BitRoll * BitTorrent Fastest Tool * divocodec * DivoPlayer * DomPlayer * Download Plugin * Gala Player * Get-Torrent * KitPlayer * NetPumper * Plugindl * TorrentQ * TorrentSoftware * Torrent101 * Winzix * 3wPlayer Ne pas (ré)installer. Pour le principe et quelques exemples, voir ici : http://www.libellules.ch/opt_out.php ----------- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bonjour, ce rapport ne montre aucune infection. IE8 utilise un processus par fenêtre, donc avoir 2 iexplore.exe n'est pas du tout anormal.

La clé ne semble pas infectée, ce fichier est toujours présent en cas d'infection.

Bonsoir, tu m'as posté ça dans l'autre sujet, je ferme ce doublon.

Ce sont des scripts Mirc ?

Gaffe, il y a du bon et du mauvais là dedans. Tu peux utiliser MBAM sur chacun des ordinateurs, dans un premier temps.

Le rapport est ok. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bonsoir, ce n'est pas forcément infectieux, mais pour y voir clair, il faudrait un rapport. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Meuh si si c'est dispo, promis : http://download.microsoft.com/download/3/5...sta-x64-FRA.exe http://www.microsoft.com/windows/internet-...wide-sites.aspx

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher l'allègement. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . TeaTimer n'étant pas génial, tu peux oublier de le réactiver. Si tu veux alléger un peu le démarrage, on peut empêcher à certains programmes de démarrer automatiquement. Ca ne les empêchera pas de fonctionner en les lançant manuellement par la suite. Note que ces lignes ne sont pas infectieuses et parfaitement légitimes, il ne s'agit que d'une petite optimisation (qui ne divisera pas par 10 le temps de chargement, loin de là). si ça te tente, relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche :

Bonjour, en effet il y a deux infections, d'abord la barre d'outils (toolbar) de Crawler, embarqué dans spyware terminator, il aurait fallu décocher l'installation de la toolbar pendant le processus d'installation de crawler, mais on va la retirer. Il y a aussi une autre infection, celle qui est responsable des fenêtres de pub. Onn va faire deux rapports de diagnostic, et on nettoiera tout ça après les avoir examinés. *** 1 *** Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, navilog1 s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers. *** 2 *** Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Double-clique maintenant sur le fichier téléchargé. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Ca a une bonne tête, une petite vérification de routine pour finir, puis on nettoie. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\V0350Mon.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras peut-être besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Bonsoir, j'en profite, à lecture de cette liste, pour rappeler qu'Internet Explorer 7 et 8 ne sont pas soumis à une validation WGA. Par conséquent, tout le monde, même avec un OS piraté ou copié, devrait avoir un Internet Explorer à jour, et certainement pas IE6, qui traîne sur des XP pas à jour. Microsoft a fait le choix délibéré de diffuser ainsi IE pour qu'il soit mis à jour par tous (les craintifs ne cocheront pas le case pour télécharger les mises à jour avec, et ne participeront pas au programme d'amélioration, par envoi de données anonymes, plus qu'un choix par goût, il peut s'agir d'une question de vie privée, pour bien des utilisateurs. Pour information, le simple fait de consutter une page piégée avec IE6 suffit à télécharger et installer un fichier piégé et infecter la machine. Ces failles sont encore très exploitées, et IE6 en fait les frais. Que l'on aime ou utilise IE ou pas n'est pas en jeu dans cette question, mais son moteur est utilisable par des programmes, donc le surf avec un navigateur alternatif ne suffit pas à protéger des failles d'IE6. Pour télécharger IE8 : http://www.microsoft.com/windows/internet-...er/default.aspx IE8 permet de surfer avec le moteur d'IE7, en cas de problème de compatibilité.

C'est suffisant pour le compte. Branche ta clé USB et vois si tu as un fichier autorun.inf à la racine de la clé. Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Tu as (encore) très bien fait les manips. Poste un nouveau rapport HijackThis stp, on a presque terminé, la machine doit tourner mieux, non ?

Poste un nouveau rapport HijackThis (lance-le par clic droit, exécuter en tant qu'administrateur) après l'installation d'un firewall (autres options possibles si ce choix logiciel ne te plait pas : question de goûts bien sûr).

Il reste encore des tas de fichiers à virer, mais l'infection doit être contenue. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/cc4193 (il faut cliquer sur le lien "download") Place-le sur le bureau, près de l'icône de combofix (rond rouge ave le tigre en blanc). Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Le rapport ne montre plus d'infection. Veux-tu en profiter pour alléger un peu le démarrage ? (il y a beaucoup de choses, toutes ne sont pas indispensables)

Très bien pour MBAM, bon signe ça. Tu peux supprimer les restes de Norton avec cet outil officiel, qui fera le travail. Il supprime tous les produits Norton/Symantec

Il y a un reste d'infection des clés USB. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9319b401-cd00-11dd-bfb1-001eec4707e5}] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre.