Falkra

Oki, impec. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il est bien meilleur qu'Ad-Aware, que tu peux désinstaller sans regrets. Nod32 est bien. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bonjour, la machine est très infectée, par plusieurs bestioles, assez nombreuses et variées. Ne télécharge jamais les programmes en dehors des sites officiels, (on en reparle tout à l'heure). Avast n'a rien vu, malgré les 3+4 familles de bestioles, il faudra changer d'antivirus : il ne te protège pas. Désactive tes protections résidentes (Antivirus, ...) tu les réactivera après le scan Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

C'est bon signe, car l'outil travaille : quand il ne peut rien faire il le dit tout de suite en général. Laisse le travailler et ne l'interromps pas, même si c'est long. S'il te fait un rapport, poste le stp.

Pas la peine de rescanner, ceci suffira. Je ne pense pas à un problème matériel. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Bonjour, ce sont des restes, situés dans la restauration système. Si ton système n'a pas de problème, tu peux désactiver la restauration système, puis la réactiver : cela supprimera les anciens points de restauration, et les fichiers en question au passage.

Bonjour, bah sur ce forum, on trouve tout et n'importe quoi, n'importe qui poste, alors quand on tombe sur quelqu'un qui n'y connait rien (statistiquement : le cas le plus courant)... on fait n'importe quoi sur sa machine. Ici n'interviennent que des gens formés. Je te laisse continuer avec Pear. (pardon pour l'intervention)

Ca devrait aller mieux, MBAM a mis le doigt sur ce dont je te parlais (DNS changer, dans le rapport). Tu pourras garder MBAM après tout ça. Poste un nouveau rapport HijackThis stp.

Voilà une bonne chose de faite. Il reste une bestiole à virer. Désinstalle Navilog via Ajout/suppression de programmes. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Une infection a détourné ta connexion vers de mauvais serveurs DNS, ceux qui convertissent les noms de domaine que tu demandes en serveurs à contacter, sur le net. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

NOVIRUSTHANKS Va sur le site NoVirusThanks ! en cliquant sur cette image: Copie cette ligne: Sur la page NoVirusThanks, clique sur le bouton "Parcourir" Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image: Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme Sur la page NoVirusThanks, clique maintenant sur le bouton "Submit File" et laisse travailler tant que "Status: scanning" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. Lorsque l'analyse est terminée ("Status: finished"), descend en bas de la page et copie le contenu de l'intégralité de la boîte intitulée BB Code: Enfin colle le résultat dans ta prochaine réponse. Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Répète l'opération avec ces fichiers : c:\windows\system32\pthreadVC.dll c:\windows\system32\wpcap.dll

Le rapport est ok. Est-ce que nod32 fonctionne parfaitement ?

Impeccable. Dis moi, ce dossier n'existe pas ? C:\program files\Crawler Si tu tapes ça dans menu démarrer, exécuter, tu arrives dans un dossier ? C:\PROGRA~2\Crawler

Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore (normalement non). C:\QooBox Tu peux supprimer RSIT et le dossier : C:\RSIT Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Tu peux protéger ta navigation avec Firefox et le sécuriser : http://www.libellules.ch/securiser_firefox_1.php Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

L'outil a fait le travail, et la machine est ok a priori. Le système semble à jour et tu utilises PSI (secunia), très bien aussi, avec Antivir complet. Tout baigne.

Relance HijackThis par clic droit, exécuter en tant qu'administrateur, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Lance OTMoveIt3.exe par clic droit exécuter en tant qu'administrateur. Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\program files\Crawler :commands [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Oki, au redémarrage, est-ce que la ligne est toujours là ?

Relance HijackThis par clic droit, exécuter en tant qu'administrateur, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : On verra si ça revient demain, il reste quelques bricoles à faire, et on s'occupera aussi de nettoyer proprement les restes et les outils spéciaux (laisse en place pour le moment).

Poste moi un dernier rapport HijackThis (à lancer par clic droit, exécuter en tant qu'administrateur).

Bonsoir, il y a aussi ce document sur Zeb http://forum.zebulon.fr/zhpdiag-un-outil-d...ic-t148190.html

C'est très bien. Ben même réponse que Kewlcat. D'ailleurs tu constates que c'est vrai, puisque tu dis que ça fonctionne... Tant que c'est sauvegardé avant le plantage, ça ne change rien que le plantage soit "super gros", là aussi, tu le constates toi-même.... ...ce qui au final, ne nous avance pas à grand chose. La fonction de firefox annoncée... fonctionne. Waou.

Bonsoir, le rapport ne montre rien d'anormal, et pour MBAM, c'est bien de l'utiliser : outil tout public, et très efficace. Est-ce que la machine présente encore des symptômes d'infection ?

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Ca doit aller mieux, mais est-ce que Nod32 fonctionne bien ? Il faut vérifier ça, car le rapport MBAM mentionne des éléments avec nod32 dans le nom. En cas de faux positif, il faut remonter l'info. Don cvérifie que tout fonctionne du côté de nod32. Il me faudra un nouveau rapport HijackThis aussi.

Est-ce que ça roule pour le centre de sécurité ?

Comment s'appelle ce processus ?