Falkra

Supprime RSIT, et le dossier c:\RSIT Supprime OtMoveit et le dossier c:\_Otmoveit Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ (urgent : adobe reader, et le maintenir à jour constamment, ou passer par un autre programme moins vulnérable, type foxit) JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+. N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Autre option, en français, Online Armor free Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : http://www.libellules.ch/phpBB2/les-risque...nts-t28947.html N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bonsoir, on traite chaque cas sur mesure, et sur combofix, je rabâche le même truc toute la journée : ne pas utiliser seul. Ne pas copier une procédure d'ailleurs (si l'autre a une bestiole différente, on fait quoi ? Si l'autre a des bestioles que tu n'as pas, on fait quoi ?) As-tu besoin d'aide, ou sais-tu déjà faire ? On ne se formalisera pas. Voir ici : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Il ne reste qu'un antivirus : oki. Plus de symptômes ?

Clean. Il suffit d'une fois pour infecter une autre machine avec le parasite de la clé. On traitera l'autre après vérification. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : (vieux restes sans danger) Là, cette machine ne présente plus de symptômes ?

Déjà 4 passages de combofix tout seul, ou sur un autre forum, il n'y a pas de Bagle là dedans depuis un moment. As-tu besoin d'aide, ou tu es déjà supervisé ailleurs ?

Mais pas de problème : tu postes quand tu peux, c'est normal de ne pas être là 24h/24. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Un point pour bitdefender. Vaccine la clé (vire le fichier autorun.inf s'il y est encore, avant de vacciner). Après ça, refais un rapport RSIT (il n'en fera qu'un) pour que je vois les entrées de clés USB dans la base de registre. On a trouvé la coupable. Par contre cette clé aura contaminé les Pc sur lesquels elle est allée...

Shoote le autorun.inf et le trojan via bitdefender, sinon à la main.

Il serait à la racine de la clé usb. Tu peux la vacciner avec le programme cité ici : http://forum.zebulon.fr/index.php?autocom=...p;showentry=540

Bonjour, c'est un windows modifié ?

Est-ce qu'elle a un autorun.inf à la racine ? (fichier caché) Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Ok, tiens moi au courant pour la clé.

On n'a pas fini, effectivement. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bien. Comment fonctionne le PC ? Qu'en est il des problèmes de départ ?

Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

C'est très bien. Je connais autorun eater aussi. Vaccine ton D:\ au passage. Efface les fichiers que tu as mis en "code", ils sont infectieux. On vérifie la présence de restes (l'antivirus trouvera des choses dans c:\qoobox, et c:\_otmoveit c'est normal, pas de panique). Fais un scan en ligne Kaspersky, en utilisant Internet Explorer. Clique sur Accept Patiente le temps d'installation du Webscanner. Les bases de mises à jour vont s'installer, patiente un moment Clique sur Next. Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera. A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis de le faire vers le bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport. Copie-colle ce rapport dans ta prochaine réponse.

Clean (mais on n'a pas fini hein). Pour tes clés, est-ce qu'il y avait un fichier autorun.inf à la racine (autre que celui du vaccin ?).

Ca va aller mieux. Poste un nouveau rapport HijackThis stp.

Il y en a partout, c'est le bazar maintenant, ça prendra plus de temps à nettoyer, du coup. Télécharge un nouveau combofix, sur le bureau (pas ailleurs) et écrase l'ancien qui s'y trouve déjà, sinon mets l'ancien à la corbeille. Lien : http://download.bleepingcomputer.com/sUBs/ComboFix.exe :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là.

Ca dépend. Le mieux à faire est une réinstallation complète, propre, à partir d'un windows complet. Si tu veux un windows léger et rapide, tu peux l'avoir sans passer par ces distributions, souvent illégales, en optimisant les services (mais sans shooter quoi que ce soit, contrairement à ces distributions), ainsi tu auras un windows rapide et léger, mais auquel il ne manquera rien de vital, un de ces jours. Ces distributions retirent des choses au lieu d'en désactiver, c'est ce qui pose problème, et les solutions classiques (et documentées) ne fonctionnent pas forcément, ou peuvent poser des problèmes. En effet, déjà dit ici : http://forum.zebulon.fr/pc-instable-et-con...re-t156814.html Même réponse donc... ben oui. Il faut un vrai windows, et légal et entier, c'est encore mieux.

Bonjour, Combofix, il ne faut pas l'utiliser tout seul... c'est le meilleur moyen de flinguer un truc vital. Soit on sait s'en servir, et à ce moment là tout baigne, mais plus besoin de forums, soit on ne sait pas, et à ce moment là, on voit avant de s'en servir s'il est vraiment nécessaire. Ne suis pas les indications d'un autre forum ou une autre désinfection : chaque cas se traite sur mesure, surtout avec combofix ! Voir ici (paragraphe concerné) http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html et là : http://forum.zebulon.fr/index.php?s=&s...t&p=1193309 Poste ton rapport combofix c:\combofix, on va bien voir...

Ok, tu peux vacciner à nouveau alors, parce qu'il y avait aussi une bestiole dans le coin. Après vaccination du C:\, affiche les fichiers cachés et les fichiers protégés : http://www.libellules.ch/afficher_fichiers.php (mini tuto) Branche ta clé USB et les autres supports amovibles, et voilà la suite. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" et choisis les lettres de lecteurs des clés USB et autres supports amovibles + ton c:\ L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

On ne voit pas d'infection, mais quels sont les symptômes ? Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes, mais si ça ne marche pas, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

C'est normal, pour les caractères, ça fait partie du rapport. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\zPharaoh.exe c:\autorun.inf :commands [zipfiles] [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ca va aller mieux, mais ce n'est pas fini. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : @echo off echo. echo -=Extractions de la BdR=- echo. set cle=HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1229272821-484061587-725345543-1173\Scripts\Logon echo %cle% regedit /E c:\reggM1.txt "%cle%" echo ------------->>c:\reggM1.txt set cle=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies echo %cle% regedit /E c:\reggM2.txt "%cle%" echo ------------->>c:\reggM2.txt copy c:\reggM?.txt c:\regfile.txt>nul del c:\reggM?.txt notepad c:\regfile.txt del c:\regfile.txt Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher. Ensuite on doit effacer aussi quelques fichiers.