Falkra

Re. Il n'y a pas de trace de bifrose sur cette machine-là, ni de bestioles par clés USB. Est-ce que cette machine a des symptômes du même genre que l'autre qu'on a pu nettoyer ?

Ok, utilise hijackthis cette fois pour la suite. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. ----------- Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ok, alors pour répondre à ta question, la seule manière propre c'est avec la supervision de quelqu'un de formé spécifiquement à combofix, sur un forum sérieux, en fait. Pas in copec lol, et ici j'interviens pour le plaisir. On est des gars très gentils. :P Le dernier est toujours le mieux, tant que ce n'est pas du pompé évidemment. Si tu veux du gratuit (mais fiable), ça peut aussi se faire. A priori tu peux laisser le réseau. VirusScan est... vraiment pas génial. A oublier lui. Oui, crée un autre topic pour cette autre machine, et je te poste de quoi attaquer la bête.

Clean. Le mécanisme qui remplit le disque est mort. tu peux vider le dossier tps1 après vérification du contenu (il semble vide là). Poste un nouveau rapport RSIT spt.

Clean. Kaspersky est très bien, garde-le ma foi. Désinstalle combofix (obligatoire) : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Et vire ça aussi, au passage : C:\SDFix C:\VundoFix Backups J'ai l'impression que tu as envie de jouer avec CF. Il ne faut pas : http://forum.zebulon.fr/procedure-de-fourn...09#entry1193309 Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php (phase stripmyrights en option) Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

On va l'immuniser et faire le nécessaire, justement et causer antivirus. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse. ----- Je te poste ensuite de quoi virer proprement les outils qu'on a mis en place, et qqch pour la partie antivirus. Pour le NC10, oui, crée un autre topic, j'irai y voir aussi, directement, ce sera plus simple.

N'hésite pas en cas de questions. Pour clore la question, je vais te préparer quelques conseils de sécurité pour ta machine, pour ça il me faudra un rapport Hijackthis. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse. --------- Gmer tu peux l'effacer à la main, il n'y a pas vraiment de désinstallation.

Ne mélangeons pas les cas. On traite le desktop, ensuite on fera un autre topic pour une autre machine, si tu veux. Sinon, je ne peux pas m'y retrouver si tu changes de machine alors qu'on a pas fini avec l'autre hein. Voilà la commande (résidus) pour la boite exécuter du menu démarrer : Ca a l'air bon, est-ce que cette machine (desktop) présente encore des symptômes d'infection ?

Attends, tu me poste bien depuis le début les rapports de la même machine hein ? (aux dernières infos : "le desktop")

Oki, bah ça a rien copié, ça a laissé copier le résidu de rapport RSIT qui rstait dans le presse papiers. Mais si ça dit "GMER hasn't found any system modification." après avoir coché ce que je t'ai dit, et cliqué sur scan, tout baigne.

On verra après pour l'antivirus, mais là ça a dû réinfecter le truc. Ok pour avoir viré winjpg.jpg à la main (ça peut revenir si on ne shoote pas le reste), mais fais gaffe un jour tu supprimeras un truc de trop (risque possible). Refais un rapport RSIT stp.

tu m'as posté le rapport Virustotal et la fin du rapport virustotal (c'est un site, là rien à désinstaller). Il me faut un rapport de Gmer maintenant. N'hésite pas à poser des questions si ça coince (no pb).

Redémarre. Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php Branche ta clé USB et si tu vois un fichier autorun.inf à la racine, shoote-le. Après ça fais un rapport RSIT stp.

Ca va vite aller mieux. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/af306f Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

VirusTotal est un analyseur de fichier (un par un), pour déceler des faux psoitifs et vérifier des détections, à utiliser au coup par coup. Gmer par contre, pas garder après utilisation, si on interprete mal les résultats, on peut gentiment flinguer windows (il liste aussi des trucs gentils et indispensables de windows, qu'il ne faut pas partir shooter après coup, héhéhé). Poste le rapport Gmer quand il sera prêt.

Fais tes mises à jour à la main. Real Player: installer le dernière version ou alors mettre le real alternative (disponible sur File Hippo après avoir viré le real player). voici les adresses : http://france.real.com/player/win/ http://www.filehippo.com/download_real_alternative/ Pour Adobe download manager: http://www.adobe.com/fr/products/acrobat/acrrmanager.html Java: http://java.com/fr/download/manual.jsp Tu devrais passer par javara pour retirer les vieilles versions => "remove older versions" Utilise ensuite ceci: crée un nouveau dossier sur le bureau ou dans "mes documents"; nomme-le JavaRa. Enregistre ce fichier compressé (zip) dans le dossier nouvellement créé : http://raproducts.org/click/click.php?id=1 Patiente le temps de téléchargement. Clic droit/extraire ici. Double clique sur l'icône "soleil" et n'utilise que le bouton "Remove Older Versions". Si tu es sous Vista : lance Javara via clic droit/exécuter en temps qu'administrateur. Ca va virer les versions obsolètes et libérer de l'espace disque. Poste le rapport sauvé sur le C:\ stp. (ou dans le dossier JavaRa) Pour Xnview: version 1.95.4: http://www.clubic.com/telecharger-fiche9667-xnview.html Pour Flash Player: http://get.adobe.com/fr/flashplayer/?promoid=DAGAV Pour désinstaller les anciennes versions: http://www.softwarepatch.com/software/flas...l-security.html Le reste c'est par windows update, si ça veut bien.

Une des saletés vient par clés USB, tu l'avais branchée lors du passage de MBAM ? (ne la rebranche pas pour le moment, si ce n'était pas fait) Télécharge le fichier lib.reg ici : http://senduit.com/a1d3e2 Double clique dessus et confirme pour l'ajouter au registre. Ca doit shooter le message d'erreur au démarrage de windows. Dans le menu démarrer, exaécuter, copie colle cette commande : et valide avec entrée. Fais pareil avec celle-là Ensuite redémarre, et dis moi si ça va mieux.

Windows est en français aussi (le menu démarre marque "démarrer") ?

Là il se plante de cible, c'est le service windows associé au fichier sain. On va pousser le test, pour creuser un peu. Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Files , Registry et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Ton windows est en quelle langue ? Et Kaspersky ?

Ca me parle : ton fichier est sain. Ignore les alertes d'a-squared (éventuellement, désinstalle-le).

Ok, je les vois tes bestioles, on va faire le ménage. Ceci prépare le ménage, la 2eme étape fera le nécessaire. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

L'ensemble. Par contre, n'utilise pas cette fonction de combofix (bis), une erreur, y compris d'interprétation, et tu flingues windows en beauté ! Combofix n'est pas un outil grand public, et il n'y a pas de manuel public non plus. Je te nettoierai le NC10 si besoin, pas de souci. Refais un rapport RSIT stp (il te fera un seul rapport, au lieu des deux l'autre fois : normal).

Les PCANDIS5, il y en a plusieurs, des bons et des pas bons. Le problème avec A-squared, c'est qu'il voit toujorus du pas bon, un peu partout, même là où il ne faut pas. On va regarder à la main. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\PCANDIS5.sys (tu devrais en avoir un). Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Exactement : du sur mesure (on ne peut pas tout traiter avec des procédures génériques, d'ailleurs la plupart des trucs ne se traitent pas avec une recette, en fait. On va continuer d'améliorer ça. Il y a un truc qui reste. Télécharge Malwarebytes' Anti-Malware (MBAM) (si déjà installé, mets à jour et suis la procédure de scan, même si auparavant ça ne trouvait rien) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.