Falkra

Bonjour, oublie spybot et ad-aware, ils ne t'aideront pas là dessus (et de manière générale : bof). Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Bonjour, vérifie la présence de ce fichier : C:\Program Files\Avira\AntiVir PersonalEdition Classic\avconfig.cpl S'il est présent (et que le dossier d'installation est bien le même) : Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls] "Avira AntiVir Personal - Free Antivirus "="C:\\PROGRA~1\\Avira\\ANTIVI~1\\avconfig.cpl" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Extended Properties\{305CA226-D286-468e-B848-2B2E8E697B74} 2] "C:\\PROGRA~1\\Avira\\ANTIVI~1\\avconfig.cpl"=dword:0000000a Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Sinon, il te faudra modifier le chemin (laisse les doubles slashs) dans le fichier reg avant de l'ajouter au registre.

Rien, impec ici. On va faire le reste à la main, poste un nouveau rapport HijackThis stp (ça affichera pour les antivirus, au passage).

Là pour ton disque dur, c'est réglé (il était infecté, en effet). La clé USB est infectée, certainement, et les pc où elle est allée depuis l'infection, aussi. Branche la clé USB en maintenant la touche majuscule enfoncée pendant un bon moment (sans aller dans la clé) et scanne avec MBAM, pour voir ce que ça dit.

Ca va. Poste un nouveau rapport HijackThis stp, à lancer par clic droit, exécuter en tant qu'admin.

Infection par clés USB et autres supports amovibles. Ne branche pas pour le moment tes clés USB. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\2fiy.bat C:\autorun.inf :reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{025d9073-6acc-11dc-94af-0040cad51292}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10046dd6-e54c-11dd-95b0-00150015f204}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f1aabb1-871a-11dd-9552-00150015f204}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0e5dafa-4e1a-11da-917d-00150015f204}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c18d7700-7aa5-11dd-9546-00150015f204}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff6c6f00-876d-11db-93e1-0040cad51292}] :commands [zipfiles] [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ce n'est pas un antivirus en soi, et franchement : bof. Il vaut mieux avoir un bon antivirus, PrevX n'est pas facile à interpréter, et souvent il est pénible de s'y habituer.

Bonjour, bienvenue. C'est un windows modifié ?

Prends ton temps pour tout ça, et n'hésite pas à poser des questions pendant le processus, en cas de doute, ou pour comprendre ce que tu fais, etc... Comprendre, c'est déjà une certaine défense.

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Supprime RSIT, et le dossier c:\RSIT Supprime Lop S&D et le dossier c:\LopSD Tu peux garder MBAM, il t'a été utile, c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine, et très efficace. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : lien. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 2. Suis les instructions et patiente. L'outil va t'informer qu'il redémarrera ton ordinateur. Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. Appuie sur une touche ainsi que demandé. Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. Choisis ta session habituelle si nécessaire. Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Ton Bureau va réapparaître. Réactive le contrôle des comptes utilisateurs (UAC-User Account Control). Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

Ca, ce n'est rien, ça va. Si la fenêtre s'est refermée sans message d'erreur, c'est bon. Tout tourne bien là ? Poste un nouveau rapport HijackThis après, à faire par clic droit, exécuter en tant qu'administrateur.

Bonsoir, pas d'extension exe ? Pas cool. Bienvenue, on va s'occuper de ça. Si jamais tu as besoin de quelques infos ou d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Télécharge ce fichier reg, et double clique dessus (puis confirme) pour l'ajouter au registre, si l'extension reg fonctinone encore : http://senduit.com/3af140 Ca doit réparer les .EXE Voici la suite. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Copie colle cette commande dans menu démarrer, exécuter et valide avec entrée stp : Confirme moi que ça marche. Le reste semble ok. Poste aussi le contenu de ce fichier stp : C:\lopR.txt

Il manque un bout (vital) du premier. Tu peux les poster tous les deux dans deux posts séparés, mais il me faut les deux, surtout le premier, enfin ce qui manque.

Les deux rapports de RSIt sont à des fins de diagnostic. Je pense qu'il est plus sage d'attendre ces rapports, quitte à éventuellement réinstaller, mais après, car s'il y a une bestiole qui bloque ça, autant la shooter d'abord, d'où les rapports RSIT, pour voir.

Ca devrait faire du bien. Vois si bitdefender se décoince au passage. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Réinstalle-les depuis addons.mozilla.org, ce sera plus sûr, sinon tu risques d'avoir ramené une ancienne bestiole. Suprime OtMoveIT et le dossier C:\_OTMoveIt Tu peux supprimer le fichier bat et FoxScan. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

(Cool, on va nettoyer les restes après) Te souviens-tu d'avoir installé une extension pour firefox ? D'avoir installé windows .net 3.5 driver foundation pour firefox ?

A faire firefox fermé. Déplace ce dossier vers la corbeille (sans nécessairement la vider hein) : C:\Program Files\Mozilla Firefox\extensions\{8B096152-2D8C-468E-A316-5F481DE54DFF} Ensuite relance et vois ce que ça donne.

Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Désinstalle "XUL cache" et redémarre firefox. Je ne vois que ça (et elle n'est listée nulle part).

Ferme toutes les fenêtres de firefox, et fais un nouveau rapport foxscan stp.

Bonjour, bienvenue. Poste un rapport HijackThis dans ta prochaine réponse stp. Si hijackthis ne se laisse pas télécharger, ce n'est pas grave, ça donnera une indication sur la bestiole. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Ok, il en restait un, j'ai mal entré le nom. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :reg [-HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.