Falkra

2-3 petits résidus. On va faire une petite vérif, et je te ferai passer un script. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\ap1.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Up.

Bonjour Asus L3500TP, dans la section désinfection, n'interviennent que les membres du groupe sécurité, pleinement formés à tout ça. Merci de ne pas intervenir (voir liens en signature pour plus di'nfos, si nécessaire).

J'ai le fichier, celui-là est bien infecté, on va nettoyer ça. Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\windows\system32\winsys2.exe :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinSys2"=- :commands [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Oki, poste un nouveau rapport HijackThis quand ce sera ok côté antivirus. On a presque fini.

Je me demande si tu as besoin qu'on te file un coup de main.... Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Norton est toujours là en effet, dans ce rapport il apparaît partout. Supprime les restes de Norton avec cet outil officiel, qui fera le travail. Il supprime tous les produits Norton/Symantec Antivir, très bien : en gratuit il écrase gentiment beaucoup d'autres.

Pas sûr que ce soit le bon. Je t'envoie par MP (messagerie privée) de quoi me le faire parvenir pour plus d'analyses.

En effet, StripMyrights ne protège que les processus de votre choix en leur retirant les droits admin. C'est bien pour les navigateur, ça évite qu'ils servent trop facilement de porte d'entrée aux malwares, mais bien sûr ça ne fait absolument rien contre un crack infecté, par exemple, ou une pièce jointe pourrie par mail. C'est là qu'un antivirus peut faire du bien. Alors bien sûr, ce n'est jamais toujours pile à jour (enfin si vous avez Avast là vous êtes sûr d'être en retard), mais ce n'est pas pour autant qu'il faut s'en passer, car la bestiole pourrie qu'on télécharge n'est pas forcément dernière génération non plus.

tu as fait exactement ce qu'il fallait, tu as utilisé des outils tout public sans risques, et sur le forum on te fait le complément avec des outils spéciaux, c'est très bien, et mieux que de tester n'importe quoi au pif : ne te reproche rien. Une toolbar pourrie (Ask), installée avec un programme certainement, et là on va voir pour les reste de webmedia player (semble déjà absent, sauf quelques raccourcis dans le menu démarrer, à virer, si ce sont bien les mauvais, à moins que tu aies installé le webmediaplayer de Florian Delauney, qui est ok). Celui là est ok, tous les autres : poubelle. http://www.azertysite.new.fr/ Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Au menu principal, choisis 2 et valide. Le programme va t'informer qu'il va alors redémarrer ton PC. Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts. Appuie sur une touche comme demandé. Le pc va redémarrer. Au redémarrage de ton PC, choisis ta session habituelle. Attends le message : Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver. Referme le Bloc-notes. Ton bureau va réapparaitre PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer.exe et valide. Cela fera revenir ton bureau. Note: Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\ Ajoute après ça un nouveau rapport HijackThis stp.

Il n'y a rien d'anormal, on va juste vérifier un fichier, mais tout est ok a priori. Ce ne serait pas un de tes logiciels qui fait ces recopiages ? C'est dans un dossier précis que ça se passe ? Ce fichier a un homonyme virus (mais qui ne reocipe pas de fichiers). Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\winsys2.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Pas sûr que ce soit un virus ça, même... logiquement ce n'en est pas un. On va quand même regarder, pour en trouver d'autres (on ne sait jamais) et voir si tu n'aurais pas un logiciel de bakcup qui recopierait ça pour toi tout seul. -------- Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Le rapport est ok. Pour le son, le plus sage sera d'ouvrir une demande dans la section software, il y a un pilote qui ne passe pas, apparemment. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Supprime Toolbar S&D puis le dossier C:\toolbar SD Supprime OtMOveIT puis le dossier C:\_OTMoveIt Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Il y a encore plein d'infections, en plus de tout ça. On va nettoyer tout ça, ça tournera beaucoup mieux. ** 1 ** Relance Toolbar-S&D. Choisis cette fois l'option "suppression" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. ** 2 ** Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, navilog1 s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

Ben... on n'a pas fini. Désinstalle Navilog via Ajout/suppression de programmes. Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe Tuto Fr sur la version 8 française : http://www.libellules.ch/tuto_antivir.php

Ca doit être bon, poste un nouveau rapport HijackThis stp.

De rien. Moins de fenêtres de pub par exemple, et surtout quelques bon vieux fichiers infectés de moins. Désinstalle AdVantage par ajout/suppression de programmes, ça aussi c'est un nid à pub.

Des restes ont été supprimés par MBAM, mais rien d'actif. Toujours aussi lent, même sans les restes de Norton ?

Tu n'utilises plus Norton ? (il y en a des restes). Supprime les restes de Norton avec cet outil officiel, qui fera le travail. Il supprime tous les produits Norton/Symantec. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Bonjour, quel est le processus à 100% ? Ton rapport ne montre rien d'anormal.

Bonjour, je confirme : une très belle infection, bien installée. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

S'il était actif, il te donnerait des nouvelles (mauvaises). On peut regarder pour d'éventuels restes, mais c'est déjà ok. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Le nouveau rapport HIjackThis (inclus dans celui de RSIT) est parfaitement propre, et sans aucun doute, et le reste est ok aussi. Les symptômes que tu évoques ne sont pas ceux d'infections. Est-ce que ça peut être eMule qui paralyse la machine ? Est-ce qu'eMule tourne au moment où ça se met à ramer ? Pour vérification (je pense qu'on ne trouvera rien), on va tester la ram. Voici plusieurs tutos pour installer et utiliser Memtest Il s'agit de créer un Cd bootable à partir d'une image (ISO) ou de créer une disquette de boot : http://www.depannetonpc.net/fiches-pratiqu...al-memtest.html http://www.vulgarisation-informatique.com/memtest.php http://www.libellules.ch/phpBB2/tester-la-...t86-t15091.html Si des erreurs apparaissent dans le tableau bleu, ça veut dire qu'il y a un problème. Il faut laisser tourner quelques passes. Attention chaque passe dure 20-30 minutes.

Bonjour, il y a bien une toolbar de trop, mais surtout un antivirus de trop, là je vois Avast + Norton ensemble. Le truc, c'est qu'ils ne sont bons ni l'un ni l'autre. Norton, tu as payé pour, ou c'est une démo ou encore un des logiciels préinstallés sur ta machine ? (si oui on peut le virer, si tu as payé spécifiquement pour, autant finir l'abonnement). Désinstalle avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. -+-------------- Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Double-clique maintenant sur le fichier téléchargé. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Très bien de poser des questions, on protège mieux sa machine quand on comprend pourquoi. Java est un environnement d'exécution (runtime), c'est un langage qu'on embarque sur sa machine pour faire tourner des petits programmes, présents sur des pages web ou des programmes à part entière. A la différence de JavaScript, qui ne propose que des fonctions limitées aux sites web, pour faire simple; Java accède à ton OS, et va plus loin. Beaucoup de malwares profitent de failles dans Java (les failles du mini-OS) pour s'installer. Certaines de ces failles, comme celles de winodws d'ailleurs, permettent de lancer un programme malveillant et permettant à ces bestioles de se lancer, s'activer et s'installer. Certaines familles d'infections utilisent ça pour s'installer chez toi. en gardant l'environnement Java bien à jour, on peut éviter que certaines bestioles s'installent sur les machines. Le mécanisme est comparable avec windows, d'où windows updates, et avec d'autres programmes où ce sont des failles dans Internet Explorer (même si tu ne l'utilises pas) ou Adobe Reader, qui sont exploitées, c'est pour ça qu'on embête tout le monde avec les mises à jour des programmes, et c'est vrai qu'on embête le monde avec ça. Bien sûr ce n'est pas une solution à tout, mais ça peut éviter pas mal de désagréments. N'hésite pas à demander des précisions, ça fait plaisir.