Falkra

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : (vieux restes) Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Supprime RSIT, et le dossier c:\RSIT Supprime Toolbar S&D et le dossier c:\toolbar SD Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc (ne pas cocher la case pour les dernières mises à jour). Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now", puis choisir la version) Si l'installation échoue, désinstalle adobe reader, puis réessaie l'installation, puis réinstalle adobe reader (ou foxit). *------ Antivir + ZoneAlarm : ok. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : lien N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Garde un seul compte sur le forum, il y a eu un problème avec ton premier sujet, ici, c'est ça ? http://forum.zebulon.fr/demande-analyse-rapport-t159754.html

Antivir s'occupe de virus, le travail de malwarebytes commence en gros là où s'arrête celui d'antivir, donc c'est normal. Très obn réflexe pour la mise en quarantaine, plutôt que de supprimer. Tu peux lire tous les anciens rapports : ouvre Antivir (double-clique sur son icône près de l'horloge), clique sur "Aperçu" dans la colonne de gauche, puis sur "Rapports" et trouve la ligne qui correspond à ton rapport elle doit s'appeler "Recherche", puis double clique dessus : là tu auras un bouton "Rapport" pour lire et/ou poster le rapport du scan en question, si tu veux que j'y jette un oeil.

Est-ce que le tuto cité ne suffit pas ? Où est-ce que ça coince ?

C'est Bagle qui a pris la place de MSN, et s'est donc fait shooter (le fichier original a été shooté par bagle), après vérification (merci à Qc001). On dirait que oui, poste un rapoprt HijackThis stp, sans doute le dernier.

Est-ce que ça revient ?

Dommage de ne pas avoir tout le rapport... mais on va faire avec ça. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Efface les deux fichiers ci dessus du dossier C:\quarantine aussi. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Pour les clés USB, c'est ok ?

Tu peux marquer résolu dans le titre en éditant le tout premier post : le titre devient modifiable.

Les cracks oui, la musique ne contient pas de cracks (3 derniers fichiers en rouge). Pour Antivir voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php Spybot est de conception obsolète, et sa base de données n'est pas assez fourni, comparée à celle de MBAM, tu pourrais désinstaller spybot, qui ne t'a guère aidé, et le remplacer avantageusement par MBAM. Idem pour ad-aware (si jamais), désinstallable. Je ne t'ai pas fait virer MSN via combofix, manips précédentes ?

Bagle s'attrape par des cracks piégés (c'est fini le temps bien pépère où on ne risquait rien). Ta machine est remplie de cracks. Certains sont probablement piégés avec Bagle dedans. Garde ces cracks et tu finiras par réinfecter ta machine rapidement... Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Est-ce que ton antivirus et ton antispyware fonctionnent encore ? On peut mettre à jour, on peut scanner ? Teste stp, Bagle a la vilaine manie de les shooter.

Ne t'étonne pas si tu réinfectes la machine dans quelques jours avec Bagle (ou autre, il y en a un ou deux qui te conduiront au reformatage direct). Poste un nouveau rapport HijackThis stp.

Bon, on a trouvé la source de l'infection, le kilo de cracks qui traîne. Un de ces cracks ou plusieurs est certainement infecté par Bagle, et c'est ce qui t'a pourri ta machine. Débarrasse toi de ces saletés. Vieux reste à éliminer, sans gravité particulière actuellement. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. ----- Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide.

Bonjour barr4367, crée ton propre sujet stp.

Ca devrait être mieux. Poste un dernier rapport HIjackThis, et je te prépare les conseils de sécurisation.

Ok, va faire une 2eme passe, voici le script : Killall:: Folder:: c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=- [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=- Poste le rapport obtenu, et voici la suite. Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Double-clique maintenant sur le fichier téléchargé. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Il y a encore des bestioles à virer. Branche tes clés USB et autres supports amovibles, disques durs externes, etc... avant ce qui suit (infection présente), sans aller dedans les ouvrir. :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Relance HijackThis par clic droit exécuter en tant qu'admin Clique sur "Do a system scan only". Coche les cases correspondant aux lignes suivantes (seulement ces lignes là) Clique sur le bouton "Fix checked", en bas à gauche. N'hésite pas à poser des questions.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Pour spybot ou hijackthis ? Pour désactiver TeaTimer il faut : Lancer Spybot-S&D Passer en Mode avancé, : http://herisson1.chez-alice.fr/Spybot/spybot24.jpg En bas à gauche, aller dans "Outils", puis "Résident", décocher la case située devant TeaTimer : http://forum.pcastuces.com/sujet.asp?page=...;REP_ID=3080907

IL est possible que Kasperky ne fonctionne plus totalement, auquel cas il faudra le réinstaller. Ta machine est très vulnérable, et sinon, Bagle s'attrape par des cracks (facile à éviter). Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Refais un rapport en mode normal stp, le mode normal devrait fonctionner (et le rapport sera différent).

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Inutile de le réactiver (il te proposera 50 modifs), car de toute façon, cette protection ne surveille pas grand chose, et n'est pas efficace, voire nuisible dans certaine cas. Relance HijackThis par clic droit exécuter en tant qu'admin, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

5 jours, toujours là ? Reformaté ? Autre ?

Pan ! Redémarre, et poste un nouveau rapport HijackThis stp (à lancer par clic droit, exécuter en tant qu'administrateur).

Maintenant : ne pas aller chez eux, puisque tu as compris que c'était mauvais pour ta machine. EoRezo fait partie des douteux : c'est un réseau de distribution de programmes normaux/classiques, mais mis à disposition avec des installateurs modifiés à des fins de collecte statistiques... et ça installe au passage quelques saletés (toujours dans cette optique de collecte de données), et ça détourne les navigateurs.Ne passe plus par leur(s) site(s) ou leurs bannières de pub. Première étape : Ferme IE, et ne le rouvre pas. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : MBAM te demandera à redémarrer, fais-le. 2eme étape, après le redémarrage, et sans lancer IE. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Teste IE.