Falkra

Ton rapport est ok. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Combofix, de toute façon il ne faut pas garder, et ça se périme très très vite, sans parler des risque côté utilisation.

J'ai, j'ai regardé ça. Les VBS étaient bien infectieux, et servaient à régénérer l'infection (les deux), et le cks.bat Dans vista64, regarde eowero.vbs dans system32 et eower.vbs dans windows : si présents, efface. Pour ton dossier, je vois le truc. Essaie ça. Installe Remove on reboot : http://www.snapfiles.com/get/removereboot.html Après programme sa suppression par le menu clic droit, s'il apparaît. comme dans cet exemple, mais avec le dossier en question, ou bien le dossier parent : Il faudra voir si ça le shoote au redémarrage.

Je te poste par MP de quoi me faire parvenir le zip.

Ce que tu as fait est assez dangereux... ... n'utilise pas combofix en tout cas. Malwarebytes ok, ça très bien. Ca doit être bon, mais regarde dans le msconfig de vista64 si tu y vois une entrée nommée "checksum". On fera sans le fichier hdtvdivx.exe, pas grave.

Impec. Peux-tu faire un zip du dossier c:\qoobox ? Si possible, ce serait pour analyser des fichiers infectés. Si tu as toujours le setup htdv machin infecté, il faudrait le mettre dedans aussi, avec PC_Gears.of.War -ENG+FULL machin. Ensuite on nettoie les outils spéciaux, et on fait propre. QUand tu auras le zip, fais un rapport HIjackThis stp.

J'aurai besoin d'un dernier rapport HijackThis stp, pour te poster les derniers trucs de mises à jour.

Ceci va réparer MSconfig, un bug de combofix, réglé depuis. Ca va mieux. Il reste des choses à vérifier, mais secondaires. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE] @="C:\\WINDOWS\\pchealth\\helpctr\\Binaries\\MSCONFIG.EXE" Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Mets à jour MBAM, et fais un scan stp. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Redémarre voir, parfois... (mais je n'y crois pas trop). Il y a deux choses nécessaires pour la résolution : que l'écran soit d'accord et que la carte graphique soit d'accord aussi. Ca ne ressemble pas à une panne en tout cas. Si ça ne donne rien, ça il faudra voir côté hardware ou software, ils sont plus calés que moi là dessus. Antivirus, désinstallation de combofix, internet explorer, tout ça c'est ok ?

Il faudra laisser s'installer la console de récupération, au prochain passage (qui arrive ci dessous). Branche avant de commencer tes supports amovibles (clés usb, disques durs etxernes, etc). Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là.

Toujours pas. On va faire autrement. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Ha, ça c'est plutôt d'ordre graphique, ça ne vient probablement pas de la bestiole. Tu es en 60 Hz (si écran plat) ? 32 bits de couleur ?

Arf, ce n'est pas l'adresse pour FP alors, à c'est une réponse à la noix comme si on leur envoyait un nouveau virus.

Le rapport est ok. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Une chtite vidéo sur les cracks & les infections : Cracks, Keygens, ... es-tu sûr de ton choix ? Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Refais un rapport par clic droit, exécuter en tant qu'administrateur stp, celui là n'est pas à jour (saleté d'UAC).

Ce ne sont pas des virus. Désinstalle combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Poste un nouveau rapport HijackThis stp.

En effet, c'est lié à Daemon tools, pas de souci de ce côté là. Si tu as toujours hdtvdivx.exe, n'efface pas tout de suit,e ça peut être intéressant. PC_Gears.of.War -ENG+FULL -.direct.play.-ToeD lié à l'infection également si tu as encore le fichier, fais super gaffe avec. Heu boot.ini, une erreur de manip et on ne redémarre plus hein. (celui de c:\ en tout cas) : pareil, gaaaaaffe. Ca sent l'infection par des cracks tout ça, il ne faudrait pas réinfecter tout ça juste après hein. Désinstalle RemoveIT Pro par ajout/suppression de programmes : ce n'est pas un programme de confiance. Désinstalle aussi (même endroit) Rootkit Unhooker, tu n'en as pas besoin. Il y a des choses qui restent dans tout ça. /!\ Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Si combofix demande à se mettre à jour, dis oui. Si ton firewall demande des accès internet, dis oui. Valide tout. SI un antivirus bippe, fais ignorer. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bon, ben on va faire autrement hein. Mets à jour MBAM (il y a eu du nouveau) refais un scan et élimination (comme précédemment). Ensuite poste un nouveau rapport HijackThis stp, on finira à la main si nécessaire.

C'est bon. Plus de symptômes ?

La bestiole n'est pas là : tant mieux, mais tout ne colle pas. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Je pense que c'est un faux positif, surtout si ton fichier vient d'un cd de démo. Si ça venait d'un crack un d'un patch douteux, j'aurais plus de doutes. Kaspersky dénote, dans la liste, d'où mon post de leur mail pour soumettre des fichiers, ça peut les intéresser.

Bonsoir, on a beaucoup d'outils spécialistes du FP, à part Kaspersky (et F-Secure) : Il est possible d'envoyer à Kaspersky un échantillon à cette adresse : newvirus[arobase]kaspersky[point]com Pour d'autres (et source) : http://assiste.com.free.fr/p/antivirus_gra...chantillon.html

Bon, on va voir ça. Apollo, il faut une pause ce soir, pour faire court (et pas besoin de s'étendre). Rassure-toi, il n'a rien fait de problématique, de toute façon, et n'a pas fait courir de risque à ta machine, ou de trucs à problèmes. Ne touche pas à RKU (rootkit unhooker) que je vois sur ta machine, lui ou ses restes, il faut faire gaffe, les résultats doivent être interprétés, tout ce que ces logiciels affichent n'est pas à virer. On va faire le point déjà, je vais te demander quelques rapports de plus. En voici deux à poster. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. ----------- Et un autre, qui va prendre un peu de temps à faire. Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche processes, Files , registry et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Bonsoir, juste pour signaler qu'on ne va pas te laisser sur le carreau. On étudie le truc, ta machine sera nettoyée.

Impec, c'était le dernier. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Méfie-toi, Bagle se choppe avec des cracks. Une petite vidéo de démo (avec une autre infection, mais de cracks aussi) : Cracks, Keygens, ... es-tu sûr de ton choix ? Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable). Ha non, c'est déjà fait.

Super ! C'est bien le virus qui fait ça, là c'est réparé, ça ne sautera pas tout seul, Bagle l'avait aidé à sauter. Poste un nouveau rapport HijackThis, qu'on continue à sécuriser, ça reflètera les modifs d'antivirus, etc.