Falkra

Si MBAM ou Gdata trouvent des choses, poste le rapport. Pour le cas de Gdata, fais mettre en quarantaine si jamais.

Bonjour, j'adore ce genre de trucs (tu n'es pas le seul à l'avoir, et il y a sans doute un batch de trop dans le coin). Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Mode normal. Evidemment que combofix n'a pas réglé tout ça, (voir plus haut) ce n'est pas un outil autonome, il faut quelqu'un pour faire des scripts avec, mais chaque script est sur mesure, valable pour une seule machine. Sans cette étape (qu'on va faire), ça ne sert à rien du tout. Je le vois ton bifrose, et on va lui faire la peau. Les messages d'erreur que tu signales, pareil, normal, on va arranger ça en quelques étapes. --------- Commence par brancher tes clés USB (qui sont infectées) et autres périphériques amovibles, avant ce qui suit (sans aller dedans nécessairement, mais laisse les branchés pendant que Combofix va fonctionner à nouveau). Ne te sers pas de ces clés USB sur tes autres machines (réinfection assurée). Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/c50d6e Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ca va faire du bien déjà, mais il en restera à faire.

Ok, bah ce n'est pas vraiment un problème en fait, et tu dois avoir en bas de la fenêtre un bouton pour supprimer ceci ou cela (ce que tu sélectionnes à la souris dans la liste). Là tu peux faire le ménage. Pour les fichiers récents, il vaut mieux les laisser un peu en quarantaine en cas de FP, histoire de pouvoir restaurer. Une fois Antivir viré, la machine sera au passage plus rapide.

Ok, on s'occupe du desktop. Je suis un humain rapide. Lol. Pfiou, il y a 50 bestioles là dedans. On va prendre combofix, mais aller au bout. Normalement un utilisateur sans supervision ne doit pas l'utiliser, et pour une raison simple : il n'est pas conçu pour venir à bout seul des bestioles. Il faut une nouvelle copie de combofix, donc tu oublies l'ancienne ou tu l'effaces sans remords. Suis la procédure à la lettre, notamment pour le fait de mettre sur le bureau, etc... tout. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Vu qu'on fait un topic par jour, prends la machine principale pour me sortir les rapports. Ne touche plus à combofix sans supervision, pour la suite.

Supprime Antivir, de toute façon ça en fait un de trop là. Ok pour le paramétrage en exception. Everest Poker n'est pas un malware en soi, mais le programme cstart a fait l'objet (et le fait encore) de nombreux débats sur sa politique de confidentialité et les connexions qu'il fait. Mais là tu as encore des alertes ?

Adobe, bah là ce sont des connexions de sa base de données, en interne probablement, et elles sont bloqués. Si ton Adobe n'est pas pompé/cracké, il n'y a pas de raison de les bloquer. Sinon tu peux tenter Gimp, gratuit et léger.

Bonsoir, ben avec tous ces outils utilisés, ça a dû mettre un beau bazar, et reprendre la machine maintenant ne va pas être une partie de plaisir. Supprime SDFix, (plus à jour). Poste le dernier rapport combofix stp (c:\combofix.txt) Pour les posts suivants, télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Rien de vraiment méchant ci-dessus. Quel est le programme concerné ? Ne vide pas la quarantaine, c'est peut-être un faux positif.

De rien. Si c'est trop lourd, tu peux désactiver GM en bas à droite, avec sa petite icône, pour ne l'activer qu'à la demande (mais l'extension restera chargée au démarrage du navigateur). Sinon, si le script suivant est plus optimisé (je n'ai pas testé), il sera plus rapide ; en tout cas il est censé faire la même chose : http://userscripts.org/scripts/show/7171

Vérification au passage : tu as bien installé Comodo sans l'antivirus, et en refusant de scanner les malwares ? Si tu veux alléger un peu le démarrage, on peut empêcher à certains programmes de démarrer automatiquement. Ca ne les empêchera pas de fonctionner en les lançant manuellement par la suite. Note que ces lignes ne sont pas infectieuses et parfaitement légitimes, il ne s'agit que d'une petite optimisation (qui ne divisera pas par 10 le temps de chargement, loin de là). si ça te tente, relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche :

Bonjour, pour afficher le cadre correspondant à l'image, il faut que ses dimensions soient définies dans le code de la page, ce qui se fait habituellement, mais pas toujours. Si le code n'est pas défini, par exemple via un appel en CSS, de plus en plus courant, il ne peut pas y avoir de conteneur. De même, si le tag alternate n'est pas défini, Ie se contente de mettre son petit carré, sans les dimensions, mais firefox ne met rien (grr). Si tu utilises GreaseMonkey, voilà un petit script qui peut servir : http://ericulous.com/2008/02/12/greasemonk...missing-images/ Je pense que Firefox n'est pas le seul coupable dans cette question.

Je ne vais pas le supprimer, on est d'accord. J'utiliserai MBAM après Smitfraudfix, selon toute vraisemblance. Je veux vérifier un truc avec SmitFraudFix d'abord. @ bientôt

Le PC est lent ? Poste un rapport Hijackthis (un nouveau), on va voir, mais la lenteur peut venir de 50 choses. Jetons un oeil.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages G data est bien, Antivir aussi d'ailleurs, mais là je vois les deux ensemble, ça fait un antivirus de trop. vu que tu as payé pour GData, garde-le et désinstalle Antivir, que tu as sans doute installé temporairement pour suivre la procédure de pré nettoyage. On pourra optimiser 2-3 trucs après, on va voir côté bestioles d'abord. Télécharge SmitFraudFix de S!Ri sur le bureau : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version. Double-clique sur smitfraudfix.exe Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection. Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt") Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

Très bien Kerio ! Deux tutos : http://www.malekal.com/kerio_firewall.html http://www.pcentraide.com/index.php?showtopic=110

On va régler ça pour le gestionnaire de tâches (un petit truc qui vient de MBAM, que je peux signaler aux auteurs tout de suite, j'en profite). Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. si tu cliques sur block sans savoir ce que tu fais, ça va te poser des problèmes plus tard, installe peut-être à ce moment là un firewall en français, comme l'autre que je pouvais te conseiller (bien sûr il y en a d'autres).

Désinstalle Navilog via Ajout/suppression de programmes. Important : Est-ce que tu as des difficulté à ouvrir le gestionnaire des tâches ? (ctrl+alt+suppr) Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php (conseils, choisis ce qui te semble intéressant) Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3 (ou un autre, voir plus bas), relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+. Quand il propose de scanner ton pc à la recherche de malwares, dis non. N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Autre option, en français, Online Armor free Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bonjour, tu peux mettre A-squared au placard, et le désinstaller. Pas tellement pour cette alerte là, mais pour la quantité d'alertes qu'il émet sur des logiciels normaux (comme VNC, classé riskware, et autres absurdités). De même, TeaTimer ne sert pas à grand chose, caril ne surveille que certaines zones (peu) de l'OS, et n'est pas une vraie protection temps réel, comme on le croit trop souvent. Par ailleurs spybot lui-même, de conception obsolète, trouve souvent les malwares, mais n'arrive pas à tout retirer, ce qui rend son utilité concrète souvent insuffisante. Le fameux PCANDIS5 c'est plutôt un driver wifi, a priori. J'ai besoin d'un rapport à jour de MBAM, télécharge Malwarebytes' Anti-Malware (MBAM) (sauf s'il est déjà installé, mets-le juste à jour) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Live Player a été totalement supprimé, et il n'y a plus de traces de lui. Magic control n'est plus présent (du tout). Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php Sans doute pas (surtout si tu es en wifi). Je te prépare la suite des infos, pendant que tu vois côté antivirus.

Le logiciel live Player est piégé et a infecté ta machine. Ne le réinstalle pas. Une de tes infections, Magic Control, s'attrape spécialement en installant un de ces logiciels : 1. go-astro 2. GoRecord 3. HotTVPlayer / HotTVPlayer & Paris Hilton 4. Live-Player 5. MailSkinner 6. Messenger Skinner 7. Instant Access 8. InternetGameBox 9. Official Emule (Version d'Emule modifiée) 10. Original Solitaire 11. SuperSexPlayer 12. Speed Downloading 13. Sudoplanet 14. Webmediaplayer (sauf celui provenant de azertysite.new.fr/) 15. Sur le site games-desktop.com (ne PAS y aller). 16. Favorit (via des setups normaux, téléchargés sur des sites non officiels) Bref, ne pas aller les chatouiller, ceux là. Ton rapport est ok là, est-ce que tous les symptômes ont disparu ?

Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Au menu principal, choisis 2 et valide. Le programme va t'informer qu'il va alors redémarrer ton PC. Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts. Appuie sur une touche comme demandé. Le pc va redémarrer. Au redémarrage de ton PC, choisis ta session habituelle. Attends le message : Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver. Referme le Bloc-notes. Ton bureau va réapparaitre PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer.exe et valide. Cela fera revenir ton bureau. Note: Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\ Ajoute après ça un nouveau rapport HijackThis stp.

Ces logiciels permettent de diagnostiquer les problèmes (en analysant leurs rapports, il faut connaître ces bestioles). On va en utiliser un autre, car il y a des restes d'une autre infection sur ta machine. XP Police antivirus doit être mort par contre. Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, navilog1 s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

Hô parfait ça. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse. Voici un tuto avec les liens nécessaires et toutes les étapes, si besoin : http://www.libellules.ch/poster_log_hijackthis.php