Falkra

Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\Program Files\Gossiper\tbgoss.dll :reg :commands [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 2. Suis les instructions et patiente. L'outil va t'informer qu'il redémarrera ton ordinateur. Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. Appuie sur une touche ainsi que demandé. Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. Choisis ta session habituelle si nécessaire. Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Ton Bureau va réapparaître. Réactive le contrôle des comptes utilisateurs (UAC-User Account Control). Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

Tiens moi au courant, après ça, pour voir si les messages n'apparaissent plus dans Kaspersky.

Efface le combofix de ta clé, il ne faut pas le lancer depuis une clé, et il n'est plus à jour, c'est dangereux, utilisé comme ça ! Regarde ici pour des rapports combofix C:\Qoobox\ComboFixX.txt (où X est un chiffre).

Il y a plein de choses à faire. Fan d'Adobe, lol. Espérons pour ta machine que ce soit sans cracks, sinon ça pourrait venir de là, l'infection. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

De rien. Tu peux marquer résolu dans le titre, (en éditant le tout premier post, le titre devient modifiable).

Ne désinstalle pas, de toute façon c'est stocké dans le profil, et le profil n'est pas affecté par la désinstallation. Tape about:config dans la barre d'adresse, valide et confirme que tu ne feras pas de bêtises. cherche browser.tabs.warnOnClose et double clique pour le passer à "True" si c'est sur False.

Houla, mais ce n'est pas du tout un outil de scan, combofix, et utilisé sans supervision, ou conseillé au pif, ça peut faire des dégâts. Poste le rapport c:\combofix.txt stp.

Bien. Poste un nouveau rapport HijackThis stp.

Il y a une infection répandue, on va y remédier. Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection). Démarrer > Panneau de Configuration Double clique sur l'icône Comptes d'utilisateurs Clique ensuite sur Désactiver et valide. Télécharge maintenant Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau. Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer. Attends la fin de l'installation. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 1. Suis les instructions et patiente. Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps). Appuie sur une touche ainsi que demandé. Un document du Bloc-notes est créé : fixnavi.txt. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. Un bon vieux crack reçu par mail, à ta place je supprimerais ça, la plupart sont infectés. En plus, IM, côté confidentialité... (on en reparlera juste après pour les détails). Après ça, regarde si tu as toujours 100%CPU, et si oui, quel processus atteint les 100%.

Bonjour, si tu as plusieurs onglets ouverts au moment où tu veux fermer firefox, il te proposera de les restaurer au prochain démarrage (sauf si tu as dit de ne pas reposer la question). S'il n'y a qu'une page, au redémarrage de firefox, il ouvre la page d'acceuil. Cette extension peut probablement t'aider : https://addons.mozilla.org/fr/firefox/addon/2324

Bonjour, et bienvenue. C'est de la pub, reste à voir si elle est infectieuse, on va regarder ça. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Va dans la console de services, Démarrer/Exécuter... (ou Windows+r), services.msc Regarde l'état du service "Carte de performance WMI" (en double cliquant dessus), s'il est arrêté ou démarré, et note son type de démarrage (manuel/automatique/désactivé) stp. Note la même chose pour le service "Extensions du pilote WMI" Tu as utilisé Combofix dernièrement ?

Voilà qui fait avancer la réflexion. Dommage de ne pas dire pourquoi, pour ceux qui lisent. En effet, même avec ce que l'on appelle souvent une bonne conduite sur le net, c'est à dire, pour simplifier, ne pas aller sur des sites aux contenus douteux, qui contiennent quantité de pages piégées (vous allez dessus avec IE6, et cela télécharge et installe une bestiole, sans aucune action de votre part : drive-by-download), et/ou de fichiers piégés à télécharger, tout cela ne suffit pas nécessairement. Par contre, cela limite beaucoup les possibilités d'infections que l'on crée soi-même, (cliquer partout et sur n'importe quoi, ça s'évite), et c'est toujours ça de gagné. Bien sûr ça ne suffit pas, c'est aussi pour ça qu'on installe des programmes de sécurité. Génération 3.11, c'est toi qui aura le dernier mot devant ta machine, en installant ton programme. Je pense que tu devrais en tester plusieurs en démo. Kapsersky, par exemple, qui propose également une suite, et est techniquement plus efficace. Ce qui se passe, c'est que le test se résume souvent à évaluer l'ergonomie de l'interface, et la consommation mémoire, car logiquement, tu n'es pas avec une machine infectée, ou en train de l'infecter, donc ça limite la pertinence d'un test. Par contre ça te dira si le logiciel te convient et convient à ta machine côté ressources. Si c'est trop lourd, tu pourras également essayer une config avec des logiciels séparés, là il y a du gratuit, et de qualité, mais avec un antivirus et un firewall séparé. On pourra t'en proposer.

Et deux de moins. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Il pouvait s'agir d'un faux positif de BitDefender (corrigé depuis). Survelile, si ça se reproduit, poste ici. On va vérifier pour les infections (autres), au cas où, ok ? Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

On va s'en débarrasser. Vérifie de la même manière, avec virustotal, ces fichiers stp : C:\WINNT\system32\mscdt.exe c:\winnt\system32\microsoft\user\dll39.exe

Sur un système 32 bits, seulement 3,2 GO de ram sont utilisables, mais comme tu dis, ça suffit largement. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Et pour pas un zloty, tu peux aussi lire ma signature, et constater que dans la section, n'interviennent que les membres du groupe sécu.Oui oui, après aussi on peut mettre linux, et Outpost Firewall Pro si on reste sous windows, sans oublier de désactiver le ping. On peut aussi garder Office s'il est sur la machine, tout simplement, et le mettre à jour. Merci.

Ok, logiquement ça ne doit pas revenir, si malwarebytes est çà jour (il l'est, dans ton dernier rapport). La lenteur n'est aps toujours liées à une infection. Il y a plein de services qui tournent à l'arrière, tu as combien de ram (mémoire vive) ? Si tu ne sais pas, tu peux voir ça en faisant clic droit puis propriétés sur le poste de travail, ce sera affiché en bas à droite.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Le message que tu évoques dans ton premier post n'apparaîtra plus aux prochains redémarrages. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\WINNT\Installer\{9DE006A5-B484-4ADE-A760-0F217136B8EA}\system.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Ok, merci pour les rapports. Et donc cette infection là revient ?

Ce n'est pas fini, mais ça doit aller mieux. Poste un nouveau rapport HijackThis stp.

Celui là ne contient aucun élément détecté, je pense que ce n'est pas le bon. on doit voir apparaître "quarantined successfully" (ou "no action taken") dans le bon.