Falkra

De rien ; très bonne soirée.

OK, c'est clean alors. Il faut bien garder le système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php (Strip my rights en option : power users) Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

De rien, n'hésite pas à poser des questions. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

On va s'occuper de tout ça autrement, car les manips ne passent pas toutes. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Bonsoir, merci à toi pour ce message, qui fera certainement très plaisir à Apollo, et à l'ensemble de l'équipe !

Nod32 est bien (quoique payant), thunderbird, pas de problème. Fais moi signe quand ce sera installé, il ne faut pas laisser trop longtemps un pc sans antivir, mais j'imagine que tu vas le faire rapidement, pour rendre le pc à ton collègue.

Ton rapport est ok et ne montre aucune infection active. Plus de symptômes ?

Relance HijackThis par clic drot, exécuter en tant qu'administrateur, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Tu peux effacer ce dossier en gras, à la main : C:\Program Files\AGI ----------- Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php ---------- IncrediMail c'est LE logiciel à éviter comme client mail. Problèmes, dans leur politique de confidentialité : Voir ici pour plus de détails : http://assiste.com.free.fr/p/logitheque/incredimail.html Extrait des conditions générales de IncrediMail : Si tu le souhaites, il est possible de transférer les mails contenus dans incredimail vers un autre programme. http://www.libellules.ch/transferer_depuis_incredimail.php

Ca remarche le gestionnaire des tâches ? Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Inutile de le réactive,r ce programme est plus souvent nuisible qu'efficace, d'ailleurs. Il y a du bazar dans les toolbars. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

Ok, ça fonctionne donc. Mets à jour VirusScan, s'il n'est pas à jour. On va vérifier le reste de la machine. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Mauvais, non, pas plus qu'un autre, mais les windows 64 bits ne sont pas très cool côté compatibilité, surtout avec les programmes anciens, comme Pharaon. C'est pour ça.

On 'a pas tout à fait fini, mais presque. Avast et Incredimail : oups. On s'occupera de ça sous peu. Une toolbar à virer (dis à ton pote de ne pas en mettre, celle là est en trop). Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Désinstalle via ajout/suppression AGI toolbar, ou nom approchant, après ça. ------------- Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Regedit n'est pas infecté, là c'est une clé de registre, qui n'est pas forcément liée à une infection. On va régler le gestionnaire de tâches, télécharge ce fichier reg ici : http://senduit.com/547413 Double clique dessus pour l'ajouter au registre, une confirmation te sera demandée, dis oui. Poste un nouveau rapport HijackThis après ça stp. Supprime ta version de RSIT, peut-être buggée.

Ok, merci, c'est exactement ce qu'il fallait poster. Ces détections mettent en avant des réglages de windows, ce ne sont pas à proprement parler des infections, en tout cas aucun contenu actif nuisible. Ici, dans ton cas, il s'agit de réglages pour faire ignorer au centre de sécurité windows ton antivirus. Tu peux refaire un scan, puis demander à MBAM de supprimer ces 5 découvertes.

Ok, le rapport est ok ici. C'est bien une histoire de compatibilité. Vista64, en plus ?

Bonsoir, poste le rapport de MBAM stp, tu le trouveras dans l'onglet log/rapports, avec la date, en double cliquant dessus, tu pourras l'afficher et le poster dans ta prochaine réponse.

Re. Mets à jour MBAM et vois si la détection se confirme.

C'était un vieux reste là. Poste un nouveau RSIt stp (il ne fera qu'un rapport, normal), pour vérifier ça. Plus de symptômes, actuellement ?

Ok, là dans ton rapport il n'y a rien d'anormal, des connexions microsoft (windows updates sans doute), et chez ton FAI. Il faudrait voir si en mode sans échec avec prise en charge réseau ça le fait aussi, pour déterminer si c'est windows, ou un programme à toi. Pour redémarrer en mode sans échec : Redémarre ton ordinateur. Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde suffit). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte habituel. Un message t'informera, et le bureau sera moche (peu de couleurs). Pour voir la tête que ça aura : http://www.micro-astuce.com/depannage/dema...mode-sans-echec

Bonjour, si ce n'est pas déjà fait, ouvre une demande d'analyse dans la section HijackThis. Vundo peut en mettre partout. Pour Spybot, ce n'est pas que ce soit un "mauvais" programme, mais ce n'est plus ce que c'était. Le problème est que beaucoup de monde y voit encore la pièce maitresse d'une configuratino de sécurité logicielle. Il y a mieux, depuis un moment : malwarebytes' antimalware (MBAM), très bon sur Vundo justement.

Bonjour midnighter, Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section. Je t'invite donc à la lire maintenant, c'est par là : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout est bien expliqué, notamment les permissions pour s'occuper des demandes d'analyse et de désinfection. Merci.

Voici un nouveau script pour OtMOveIt, puisqu'il en reste, ici. :processes explorer.exe :files C:\DOCUME~1\SALDOD~1\APPLIC~1\Search Settings :commands [start explorer] Poste le rapport obtenu après ça stp, ça doit toucher à ton message searchsettings.

IL y a surtout deux autres infections sur la machine. Je vais te demander deux rapports. -------- 1 -------- Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection). Démarrer > Panneau de Configuration Double clique sur l'icône Comptes d'utilisateurs Clique ensuite sur Désactiver et valide. Télécharge maintenant Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau. Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer. Attends la fin de l'installation. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 1. Suis les instructions et patiente. Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps). Appuie sur une touche ainsi que demandé. Un document du Bloc-notes est créé : fixnavi.txt. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\) -------- 2 -------- Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Double-clique maintenant sur le fichier téléchargé. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Ne le réactive pas. ------- Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. ---------- Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\WINDOWS\system32\jwt32.exe C:\Program Files\spoolsvt.exe C:\Program Files\spooler.exe :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxSys"=- "SearchSettings"=- "Microsoft appswitch"=- "Printspooler"=- :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

C'est difficile de créer un taux de détection, vu qu'on ne connaît pas le nombre total de bestioles, et qu'il s'en crée tous les jours. Antivir est un bon antivirus, efficace et piloté par des équipes réactives, il est léger en mémoire, ce qui ne gâche rien. Tu peux lire quelques données chiffrées ici : http://www.av-comparatives.org/