Falkra

On attend toujours, parce que ça n'a pas réglé le problème de la base de données d'ad-aware, qui ne contient toujours pas autant de saletés que MBAM, et dont le moteur heuristique fait eine à voir en comparaison. Reboot automatique ? Une protection bloque une saleté, si ça redémarre tout seul la machine : pas top ça.

C'est certainement les permissions NTFS à bidouiller pour le dossier du profil de Firefox, je pense qu'Ogu te renseignera mieux que moi là dessus.

+1, ménage effectué. Oceanic64, suis la procédure d'Apollo (lui seul).

Super ! N'hésite pas à poser des questions. Tu peux marquer résolu dans le titre, (en éditant le tout premier post, le titre devient modifiable).

C'était une saleté d'infection type supports amovibles (par les clés USB, principalement), on a viré quelques points d'ancrage. Plus de symptômes ? (je vois marqué résolu, lol)

Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4f552-ec71-11dc-ac67-0016175a5d61}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93fb1f66-a1b5-11dd-ae52-0016175a5d61}] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Recherche sur le disque dur un éventuel fichier esta ig.vbs et supprime-le si présent. cherche dans c:\windows c:\windows\system32 surtout. Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Je t'ai fait un 2eme script, pour tester : http://senduit.com/f828c7 Fais le glisser, de la même façon. Plus besoin de toucher aux périphériques amovibles. Tu peux effacer le script n°1.

Je lui ai transmis.

Tu peux me tutoyer, c'est l'usage courant sur les forums. Voutoyer, si tu préfères lol. C'est nous qui faisons ces scripts, sur mesure, chacun est unique, valable pour une seule machine. On a avancé, mais pas fini. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\INT13EXT.VXD Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php Pour Firefox, il faut terminer 2-3 trucs, mais ça va aller mieux. Télecharge http://batchdhelus.open-web.fr/programme/Yoog_Fix.bat et colle le rapport obtenu stp, aussi.

Ca marche pour IE7 (je ne sais plus trop qui tu cites lol) ? C'est installé ? Edit : Ha, je viens de voir résolu. Bon surf !

Oki, nickel pour le fichier. Merci. Je t'en demanderai peut-être d'autres plus tard. On va faire plusieurs choses ensuite, et tenter d'en régler le maximum. Il faut d'abord shooter yoog. Branche tes périphériques amovibles avant ce qui suit (clés usb, disques durs externes, etc). Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.Txt à cette adresse : http://senduit.com/d4516f Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonjour, ça a l'air idiot, mais essaie de désinstaller Adobe reader, puis de réinstaller IE7. Il y a des blocages sur des clés de registre. Ton rapport ne motnre aucune infection, mais ce n'est pas la bonne section pour les analyser.

Bonjour, ce n'est pas une infection, je transfère le sujet.

Mais je vais te les virer moi même les fichiers, pas de souci, tout ce qu'il te faut c'est modifier le fichier prefs.js pour le moment. J'ai ton fichier, impeccable. Un grand merci pour ça. Prêt pour la suite ? Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Ok. Tu sais, réinstaller ZA par dessus n'est pas forcément de nature à arranger les choses.

Oki, combien pèse le fichier 7z obtenu ?

** Bonjour** créé ton propre sujet stp. Merci. Utilise le bouton il ne sert que pour créer le sujet, la première fois uniquement, après tu n'en as plus besoin. Ne poste pas dans ce sujet.

Ne prends que le dossier "quarantine". Add to archive, ok, et pour le reste, 7z ultra, etc... Merci, à toute.

Ca, c'est la taille du dossier Quarantaine ? Un zip ou un rar, c'est quand tu fais un fichier compressé, il faudrait faire un ZIP avec dedans le contenu de ce dossier : C:\Documents and Settings\manon\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine Tu peux télécharget et installer 7zip (en français) : http://sourceforge.net/project/downloading...use_mirror=garr Une fois installé, fais clic droit sur le dossier quarantaine, et choisis dans le menu "7zip", puis "Ajouter à l'archive". Là, paramètre comme ça, et tu auras un fichier à m'envoyer après compression (un peu long, je préviens).

Ca, c'est le genre de démarche parfaite pour infecter une machine... mais bon tu le sais sans doute hein. Si tu as le zip, et qu'il n'est pas trop gros, je peux te l'analyser, si tu veux me l'envoyer, je te poste une procédure d'envoi par MP.

Ca va être ok pour l'infection. J'aimerais que tu m'envoies des fichiers de l'infection (les sales fichiers). Avec MBAM, l'opération est sans risque de réinfection, tel que je vais te l'indiquer. Va dans : C:\Documents and Settings\< ton nom de sessions windows, ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware Fais un ZIP (ou RAR) le dossier "Quarantaine" et dis moi combien il pèse (clic droit propriétés). Je te dis ensuite comment me l'envoyer. --------------- Sécuriser Ta machine est très vulnérable, il n'y a pas d'antivirus visible, et elle n'est pas à jour. Je te conseille Antivir comme antivirus, il est gratuit, en français, assez léger et surtout très efficace. Voici un lien de téléchargement direct (version en français) : http://dl1.avgate.net/down/windows/antivir...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc (ne pas cocher la case pour les dernières mises à jour). Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now", puis choisir la version) Si l'installation échoue, désinstalle adobe reader, puis réessaie l'installation, puis réinstalle adobe reader (ou foxit). Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Ad-aware est dépassé (tout comme spybot). Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php Ne pas installer leur antivirus ni scanner contre des malwares lorsque proposé par l'installateur. Prends le firewall seul, sans Defense+. N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Autre option, en français, Online Armor free Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Je peux te recréer une nouvelle entrée automatique, c'est celui là ? Sinon il suffit de placer un raccourci vers le bon gestionnaire dans le dossier "démarrage" du menu démarrer.

Aucune de nos manips n'y a touché. Si tu tapes ça dans menu démarrer, exécuter, et que tu valides avec entrée ça lance le bon gestionnaire ?

J'ai viré des entrées deémarrage inutiles type logitech desktop messenger, msn pictures, etc. Je ne vois aucun gestionnaire comment s'appelle ce gestionnaire internet ?

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci (une partie élimine des résidus de virus, l'autre éclaircit le démarrage) et clique sur le bouton "Fix checked", en bas à gauche : Vois si ça démarre mieux.