Falkra

Oki, fais les modifs d'antivirus, et après, poste un nouveau rapport HijackThis stp.

Ton antivirus Norton n'est plus à jour, et le firewall est HS. Bagle les a injectés. Avast aussi est mort, spécialité de Bagle. :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt -+---------------- Après ça, supprime les restes de Norton avec cet outil officiel, qui fera le travail. Il supprime tous les produits Norton/Symantec Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

Bonsoir, Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Nada, ce qui est bon signe, et confirme ce qui précède. Ton problème n'est pas d'ordre infectieux. Ouvre une demande dans la section Wibdows Vista du forum, en signalant que ça ne relève pas d'infection, et en donnant les symptômes que tu présentes (très bien d'ailleurs) dans le premier post, on te donner des avis plus précis sur la question.

Bonsoir khalildu91, reste dans ton sujet stp.

Bonsoir, c'est quel windows exactement ?

Tu peux supprimer la ligne O9 eBay, laisse le reste. PAr contre ça ne changera rien côté vitesse, ça n'allège rien. La O2 que tu cites est de messenger, laisse, malgré le "no file" ou "file missing". Il faudra sans doute voir côté windows vista (section du forum), car ton problème ne semble pas être affaire d'infection. On va faire un dernier petit test. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Bonjour, je déplace dans software, tout cela ne relève pas d'une désinfection. Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

Ce rapport ne contient rien, soit ce n'était pas le bon, soit ça a scanné la quarantaine de combofix, et effectivement, maintenant elle n'y est plus.

Nickel. En tout cas ce n'était pas infectieux ça, tant mieux. On termine pour finir de sécuriser ta machine. Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. A-squared par contre, tu peux t'en passer : comme spybot et ad-aware (tu peux aussi t'en passer), c'est un logiciel maintenant de conception obsolète, et connu pour ses faux positif, lui. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Peux-tu poster le rapport antivir stp ? Il contient plein d'autres données utiles.

Pas grave, il te suffit de poster le rapport de scan d'antivir. Tu peux lire tous les anciens rapports : ouvre Antivir (double-clique sur son icône près de l'horloge), clique sur "Aperçu" dans la colonne de gauche, puis sur "Rapports" et trouve la ligne qui correspond à ton rapport elle doit s'appeler "Recherche", puis double clique dessus : là tu auras un bouton "Rapport" pour lire et/ou poster le rapport.

Oki, mets en quarantaine. Ca affiche quoi comme nom de virus pour ces fichiers tmp ?

Le rapport est ok. Les fichiers .sqm sont créés par MSN, et pas indispensables, par conte ntdetect.com ainsi que d'autres fichiers, sont vitaux pour windows... le plus simple est de ne toucher à rien, c'est pour ça qu'ils sont cachés d'ordinaire. Est-ce qu'Antivir fonctionne ? Bagle a l'habitude de shooter tout ça, auquel cas il faudra le réinstaller.

Ca doit être bon là. Poste un nouveau rapport HijackThis stp.

Il a bien l'icône d'un fichier texte ? Est-ce qu'il contient bien le script, sans ligne blanche au début ?

Re. Tu n'as pas fait glisser le script comme proposé, d'après le rapport. Refais l'opération du post 9, en créant le fichier texte du script et en le faisant glisser sur l'icône de combofix (ici plop).

Bonsoir, si tu as toujours le keymaker sous la main, ne l'efface pas, ça peut nous intéresser pour étudier cette variante du virus. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le TRALALA.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Je pense qu'il va falloir se passer des services de spysweeper... Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Par ailleurs, il est bien plus efficace.

Ok, branche la clé usb et passe combofix.

Tu as en effet un rootkit, pas très courant, + une belle saleté. Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Branche tes périphériques amovibles (clés usb, disques durs externes, etc) notamment ce qui correspond à la lettre F:\ du poste de travail lorsque branché. Désactive ton antivirus, il peut gêner. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

La machine est ok, en dehors de spysweeper et ses messages, tu ne constates pas de symptômes anormaux ?

Ca pouvait être un virus, à vérifier, là c'est ok. Ta machine est déjà ok, là on nettoie des résidus. :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Désactive ton antivirus, il peut gêner. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

Joyeux Noël. Poste un nouveau rapport HijackThis stp. Attends la procédure, sinon ça va partir dans tous les sens.

Rassurant oui. Il a dit "Gmer hasn't found any system modification" ?