Falkra

Oki, poste un nouveau rapport HijackThis stp (désolé pour le côté répétitif).

On dégage la bestiole ! Tu l'as choppée en installant Favorit, sans doute via un installateur modifié (parasité). C'est pour ça qu'il faut télécharger les programmes sur le site officiel. Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Au menu principal, choisis 2 et valide. Le programme va t'informer qu'il va alors redémarrer ton PC. Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts. Appuie sur une touche comme demandé. Le pc va redémarrer. Au redémarrage de ton PC, choisis ta session habituelle. Attends le message : Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver. Referme le Bloc-notes. Ton bureau va réapparaitre PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer.exe et valide. Cela fera revenir ton bureau. Note: Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\ Ajoute après ça un nouveau rapport HijackThis aussi stp.

Le dernier, le reg.reg téléchargé sur senduit : http://senduit.com/74899a Désinstalle dabo'rd regrun, redémarre s'il le demande.

Bonsoir (tiens, le chat d'American McGee's Alice) Il y a une infection, mais elle n'est pas forcément responsable des problèmes de tes navigateurs. On va la virer et voir ensuite ce que ça donne pour IE et FF. Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, navilog1 s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

Bonjour, tu peux utiliser Virustotal : http://www.virustotal.com/fr/ 26 antivirus à jour analyseront ton fichier, et un rapport sera affiché. N'envoie pas le zip, mais le fichier suspect lui-même, après la décompression.

Je suis presque sûr que c'est regrun qui met ce bazar. Désinstalle-le stp, et repasse le fichier reg. L'entrée dans ajout/suppression de programe se nomme "RegRun Security Suite Platinum". Si c'est du cracké, raison de plus pour le virer (je ne te soupçonne de rien à ce propos, soit dit en passant).

Ton rapport est ok, et il ne lance pas 50 trucs au démarrage. Par contre je vois dans ta liste de processus que toi oui. Si tu fermes quelques programmes, ça ne tourne pas mieux ? Tu peux toujours optimiser les services windows (attention aux manips) pour gagner un peu plus de ram, mais bon, ça ne fera pas courir la machine non plus.

Télécharge le fichier reg que je t'ai concocté via ce lien, et double clique dessus pour l'ajouter au registre : http://senduit.com/74899a Une fois fait, poste un nouveau rapport HijackThis stp. Si ça ne donne rien, je pense qu'no va devoir tenter des choses comme désinstaller regrun (envahissant), ne serait-ce que pour voir la différence.

On va maniper à la main, pour voir. J'ai pu oublier de te faire virer un truc, mais certaines ne devraient pas réapparaître. Je pense qu'elles ne s'effacent pas, en fait. Peut-être une histoire de permissions de registre (ça se règle). On va faire une liste. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : @echo off echo. echo -=Extractions de la BdR=- echo. set cle=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run echo %cle% regedit /E c:\reggM1.txt "%cle%" echo ------------->>c:\reggM1.txt set cle=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce echo %cle% regedit /E c:\reggM2.txt "%cle%" echo ------------->>c:\reggM2.txt copy c:\reggM?.txt c:\regfile.txt>nul del c:\reggM?.txt notepad c:\regfile.txt del c:\regfile.txt Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher.

As-tu bien coché toutes les lignes mentionnées dans HijackThis ? Là elles reviennent, même sans fichier en face. (je m'interroge, je ne doute pas que tu l'aies fait, il y a un os quelque part)

Est-ce que ton compte utilisateur a les droits administrateur ? Certaines manips ne passent pas.

Parfait. Supprime les lignes de HijackThis si elles apparaissent encore, et poste un nouveau rapport RSIT (il n'en fera qu'un seul) après ça stp. On va y voir plus clair !

Bonsoir, je confirme que ça n'est pas du tout le genre des infections de faire ça. N'en voyez pas partout. Il ne réclame pas le disque de windows, d'ailleurs, mais des fichiers de WLM. Il faudrait essayer de changer de version. Par ailleurs, windows doit être à jour, si windows installer n'est pas à jour, ça va poser des tas de problèmes aussi. Bon week-end.

Oki, impec. On n'a pas fini pour autant. Je te poste la suite. Supprime SDFix et le dossier : C:\SDFix Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc (ne pas cocher la case pour les dernières mises à jour). Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now", puis choisir la version) Si l'installation échoue, désinstalle adobe reader, puis réessaie l'installation, puis réinstalle adobe reader (ou foxit). Il faudra passer ensuite au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Désactive Unhackme et regrunsuite (si actif à l'arrière plan), avant ce qui suit. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files c:\windows\system32\yohilimu.dll c:\windows\system32\wayomora.dll C:\WINDOWS\Partizan.txt C:\WINDOWS\system32\PARTIZAN.TXT :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2B419F91-D843-400B-98EF-ADC5B7689691}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{393C2547-B2AB-422C-87AF-385238C73416}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C03FD59D-9104-44B7-929A-9EAA0BA05211}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fcedb34b-b927-4557-a9c2-60518aa20f1b}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NWEReboot"=- "pizadidoto"=- "CPM5791c005"=- "combofix"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "KB926239"=- "combofix"=- :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Après ça, et le redémarrage (si requis), relance HijackThis, clique sur "Do a system scan only" puis coche ces lignes si elles sont encore là et clique sur le bouton "Fix checked", en bas à gauche :

Bonjour, le sujet a été déplacé ici : http://forum.zebulon.fr/mot-de-passe-disparus-t158880.html (à continuer là) Ce n'est pas un symptôme d'infection. Je referme ce doublon.

Impec. On continue, il y a des choses pas courantes à vérifier. On a fait le plus gros, la mahcine doit mieux tourner, mais ce n'est pas terminé. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Ca ne devrait pas suffire à ralentir autant la machine. Je pense que le plus simple dans ton cas est de poster une demande dans hardware ou software (en disant que ce n'est pas lié à une infection, qu'on a vérifié). Rappelle aussi ça : - Démarrage très lent. - Fermeture de windows extrêmement longue (avec le nombre de minutes). - Ecran bleu pendant 1 sec ( erreur kernel ) et redémarrage. - Blocage lors du démarrage (avant le logo windows)

Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\winlogon.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Ton disque dur est défragmenté ?

Bonsoir, Il y a bien "Sentir le sapin", mais c'est pour désigner quelqu'un qui n'a plus longtemps à vivre. Oups.

Ceci indique un problème de carte réseau, ils disent de vérifier le câble. Tu as des périphériques USB connectés au démarrage ?

Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\ 00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00 Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Confirme moi que ça marche.

Pour crawler, il a pris un coup, ça doit aller mieux. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Allons-y. Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide.