Falkra

C'est bon, je l'ai. Merci beaucoup. Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox Tu peux effacer le ZIP que tu m'as envoyé aussi. Je vais envoyer le fichier aux éditeurs d'AV pour améliorer la détection, ton fichier va aider du monde ! Maintenant (après cette désinstallation, j'attendais exprès), on peut installer un antivirus. Je te conseille Antivir : gratuit (disponible en français) et surtout efficace. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php

Je t'envoie un message privé pour me faire parvenir les fichiers infectieux.

J'aime bien lire ça. Ton rapport est clean, plus d'infection en tout cas. Peux-tu faire un zip (si tu sais faire) du dossier c:\qoobox ? Et me dire combien il pèse en Mo ?

Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections, IAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Fais moi signe si ça le fait encore maintenant. SI oui, mets en quarantaine, ne demande pas à refuser l'accès, sans cela il te retrouvera très vite le fichier. On fera un scan complet après.

Désactive Antivir le temps des manips, sinon il va empêcher les suppressions. Réactive-le après.

Désactive Antivir le temps des manips, sinon il va empêcher les suppressions. Réactive-le après.

Ok, si ça ne couine plus, on doit être débarrassé du point de départ de l'infection. Note qu'Antivir fait son boulot, en l'occurence, mais ça marque "Refuser l'accès", là tu peux supprimer pourtant, ou mettre en quarantaine. Télécharge ATF Cleaner (clique) par Atribune. Double-clique sur ATF-Cleaner.exe pour lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected ça videra les dossiers temporaires, au cas où il en resterait. Clique sur Exit, dans le menu principal, pour quitter le programme. Désactive aussi la restauration système : http://www.libellules.ch/desactiver_restauration.php Puis réactive-la pour purger les points de restauration infectés.

Il n'y a rien d'anormal dans ton rapport. De quel fichier est ce qu'Antivir se plaint ?

Ca doit aller mieux. Poste un nouveau rapport HijackThis stp, et dis moi comment se comporte la machine.

ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure. Rend toi sur cette page afin de télécharger le fichier CFScript.txt sur le Bureau : http://senduit.com/52423c Note 1 : Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc! Patiente quelques secondes : le téléchargement va se lancer automatiquement. Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture : Patiente le temps du scan. Le Bureau va disparaitre à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Quand Combofix finit de travailler, il affiche ceci : Cliquer sur OK va faire débuter l'envoi automatique du fichier zip, pour améliorer les futures détections. Une fois le scan achevé, le PC va certainement redémarrer: un rapport va s'afficher, poste son contenu. Si le fichier n'apparait pas, il se trouve ici : C:\ComboFix.txt Note 2 : un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse. Dans le cas où le site de téléchargement se trouve hors ligne, tu verras ce message : Il te suffira seulement de faire un double-clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier. Le rapport de ComboFix ne s'affichera qu'après la fin de l'envoi.

Combofix a déjà été utilisé et n'a pas été désinstallé, il aurait fallu, à l'époque (fin décembre). Ce n'est pas très grave, on va le faire nous-mêmes plus tard. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): *** édité *** Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

On fera ça à la fin, passe combofix en suivant précisément les infos et le lien de mon post précédent.

Tu peux le désinstaller, et le remplacer avantageusement par QuickTime Alternative qui te proposera la même chose, mais sans en mettre absolument partout dans ton système. Raison de plus pour virer la ligne.

Il t'en faudra un. Un bon, gratuit.

Tu as déjà optimisé les services Windows ? http://www.pcastuces.com/pratique/windows/services/page1.htm Si tu veux alléger un peu le démarrage, on peut empêcher à certains programmes de démarrer automatiquement. Ca ne les empêchera pas de fonctionner en les lançant manuellement par la suite. Note que ces lignes ne sont pas infectieuses et parfaitement légitimes, il ne s'agit que d'une petite optimisation (qui ne divisera pas par 10 le temps de chargement, loin de là). si ça te tente, relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche :

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs (renommé exprès tralala pour ne pas être bloqué par la bestiole) et sauvegarde-le sur le bureau (pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique sur tralala.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Finir l'abonnement : tu as payé pour. Java c'est ok ?

Essaie de télécharge le sur le bureau, puis ouvre le fichier, sans l'ouvrir depuis le lien directement.

Il faut y regarder de plus près. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Bonjour, ce n'est pas un symptôme caractéristique, et ton rapport ne montre rien d'anormal. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé, sinon on ne peut pas dire grand chose sans ces informations. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Redémarre, si ce n'est pas déjà fait, et poste un nouveau rapport HijackThis stp.

Ok, efface Gmer alors. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs (renommé exprès tralala pour ne pas être bloqué par la bestiole) et sauvegarde-le sur le bureau (pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique sur tralala.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

On ne voit rien de spécial dans les rapports, pourtant il y a de l'info. Les ratages sur Windows Updates apparaissent bien, mais sans plus. Il faudra impérativement faire des mises à jour (au minimum au dernier service pack : le 3) et d'autres choses. Ca me fait penser à deux bestioles, dont on n'a pas tous les symptômes. Essaie de désactiver la vaccination de Spybot. Pour cela, suis ces instructions : Ferme tes navigateurs. Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche : Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination. Confirme si demandé. Ferme Spybot. Vois si cela améliore les choses. ------------- Sinon il faut qu'on y voie plus clair. Télécharge (s'il te laisse faire) GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files Sinon prends ce lien, avec Gmer renommé dt6u17jk.exe : http://senduit.com/e8e148 - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections, IAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.