Falkra

Tu fais bien glisser le fichier texte, sans le modifier, sur l'icône de combofix ?

Tu as un driver d'émulation CD, celui de VirtualCloneDrive. Désactive totalement le programme (ou désinstalle-le pour réinstallation après tout ça) et essaie de refaire le script de combofix que j'ai posté.

Pas bon. Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections, IAT/Eat **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Tu n'autorises que les domaines que tu connais et qui te servent, sur les sites de confiance que tu fréquentes. Tout le reste sera bloqué, donc les vilains aussi. D'après ce que tu décris il est possible que les pubs ne soient pas forcément virales, mais liées aux sites consultés.

Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files c:\docume~1\ADMINI~1\LOCALS~1\Temp\xsys.exe :reg [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] "AntiVirusDisableNotify"=- "FirewallDisableNotify"=- "UpdatesDisableNotify"=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"=- "DisableRegistryTools"=- :Services ABP470N5 :commands [zipfiles] [emptytemp] [Start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Donc tu es déjà sur le navigateur. Tu n'utilises pas de filtre sur Firefox, pourtant Adblock Plus pourrait faire du bien, ça et NoScript. Tuto NoScript : http://www.libellules.ch/noscript.php Installe Ad Block Plus aussi (choisis la liste "EasyList+ListFr) : http://www.6ma.fr/tuto/adblock+plus+bloque...sur+firefox-303 Il est inutile de désinstaller les navigateurs.

C'est mieux, mais pas fini. Sais-tu utiliser un LiveCD (toi ou quelqu'un qui a accès à cette machine) ? ------ ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure. Rend toi sur cette page afin de télécharger le fichier CFScript.txt sur le Bureau : http://senduit.com/6e7e0b Note 1 : Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc! Patiente quelques secondes : le téléchargement va se lancer automatiquement. Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture : Patiente le temps du scan. Le Bureau va disparaitre à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Quand Combofix finit de travailler, il affiche ceci : Cliquer sur OK va faire débuter l'envoi automatique du fichier zip, pour améliorer les futures détections. Une fois le scan achevé, le PC va certainement redémarrer: un rapport va s'afficher, poste son contenu. Si le fichier n'apparait pas, il se trouve ici : C:\ComboFix.txt Note 2 : un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse. Dans le cas où le site de téléchargement se trouve hors ligne, tu verras ce message : Il te suffira seulement de faire un double-clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier. Le rapport de ComboFix ne s'affichera qu'après la fin de l'envoi.

Tu peux oublier Spybot, Ad-aware, a-squared si tu as MBAM. Ad-remover, je connais, mais ce n'est pas un outil tout public standard, et il ne faut pas garder de vieilles versions. Il ne faut pas tout supprimer, surtout sachant que "File missing" n'est pas toujorus exact, avec cette version de HijackThis... prudence ! Ok, ça le fait uniquement quand tu consultes des pages, ou sans que tu démarres le navigateur ?

Rien de spécial là dedans non plus, les symptômes persistent actuellement ?

Ca ne correspond pas à ce que tu décris au début, mais si tu as fait plein d'opérations entre temps, on ne verra rien. FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées. -------- Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Bonjour, si tu réponds à ton propre sujet, on pense qu'il est déjà pris en charge, car le forum indique qu'il y a des réponses. Attention au choix des outils, Spybot (comme ad-aware) sont de conception obsolète, et n'aident pas toujours beaucoup. Spywareblaster est une protection passive, et enfin CCleaner n'a rien d'un logiciel de désinfection, ce n'est pas son boulot. On ne voit rien de particulier dans le rapport. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

@AniMo : crée ton propre sujet stp, : on traite sur-mesure. N'appliquer pas les conseils destinés à une autre machine.

J'attends qu'on démontre la supériorité technique de la structure d'Avast et ses multiples boucliers dédiés (p2p, mail, etc) contre un bouclier résident qui de toute façon intercepte et bloque l'objet infectieux dès qu'il devient dangereux (ex. : une pièce jointe quand on l'exécute ou télécharge, un fichier via p2p une fois complet, etc).

Pas sûr, refais une passe combofix stp et poste le rapport. Il va demander à être mis à jour, accepte, et accepte toute demande de ton pare-feu, si tu en as.

A traiter dans l'autre topic.

Bonjour Gubble, crée ton propre sujet stp, et je supprimerai ces deux posts, pour que Chromimuk ait lui aussi son sujet à lui. Nous traitons sur-mesure, chaque machine. N'applique pas les directives données pour une autre machine que la tienne.

Oui, et il doit te le proposer quand tu démarres le raccourci. Il faut les droits admin pour mettre à jour, rien que ça rend les droits indispensables pour utiliser le programme. Antivir se débrouille tout seul pour avoir les droits dont il a besoin, donc il n'y a rien de particulier à faire pour lui. Je viens aussi de XP, Vista, j'ai mis un joker.

Bonjour, c'est une question de droits. Par le panneau de config, comme Sun ne l'a pas prévu, on ne peut pas appliquer les paramètres avec droits admin (on ne voit pas le petit bouclier sur les boutons). La reconnaissance de Windows 7 et des permissions directement dans leur interface n'est pas encore implémentée on dirait. On peut quand même régler ça. Va dans C:\Program Files\Java\jre6\bin Et démarre javacpl.exe avec droits admin (clic droit, etc), et là, applique tes choix. Ce sera ok.

Tu l'as lancé avec les droits administrateur ?

Que du bonheur ces virus-là. Redémarre, et vouis comment Windows se comporte dans un premier temps.

Télécharge Dr.Web CureIt sur ton Bureau: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe Double clique launch.exe et ensuite clique sur Commencer le scan; Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui à l'invite. **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X" L'analyse rapide se fait en quelques minutes seulement (progression affichée au bas) Lorsque l'analyse rapide sera terminée, coche/active le bouton "Analayse complète" (au haut à gauche) et clique sur le bouton avec flèche verte sur la droite et l'analyse complète débutera. S'il y a détections, l'outil te proposera des choix d'actions : clique "Oui pour tout" selon l'action proposée (réparation, quarantaine ou suppression). ** L'analyse complète est plutôt longue, donc il faut être patient. Il faut avoir la machine à l'oeil durant l'analyse, car l'outil stoppe sa progression lorsqu'il y a détection et attend votre choix d'action. *** Si tu soupçonnes qu'une détection semble être fausse (un faux-positif), alors clique "Non pour tout" et avise le bénévole qui t'aide en lui soumettant le nom et emplacement du fichier détecté. En fin d'analyse, il est possible que le bouton "Tout sélectionner" (au bas à gauche) soit disponible : ne pas cliquer dessus. Va maintenant dans le menu "Fichier" (au haut à gauche) et choisis "Enregistrer le rapport"; sauvegarde-le sur le Bureau. Il sera au format .csv (accessible par Excel ou programme similaire, sinon le Bloc-notes peut être utilisé). Copie/colle le contenu du rapport dans ta réponse. Ferme la fenêtre de l'outil en cliquant sur le "X". S'il y a invite "Souhaitez-vous vraiment fermer l'application ?"; clique "Oui".

Très bien. FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.

Ok. Ca peut aller en software, puisqu'il n'y a pas d'infection constatée.

Ben "moins" de suspects, si on tient compte du retrait de cette saleté d'EoRezo. Nous n'avons de toute façon pas terminé. TeaTimer n'est pas d'une grande utilité, il peut même être une source de problème. Désactive-le, c'est à faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu pourrais te passer de spybot, avec profit. Désactive aussi la vaccination de Spybot. Pour cela, suis ces instructions : Ferme tes navigateurs. Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche : Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination. Confirme si demandé. Ferme Spybot. Ensuite tu pourras le désinstaller. On voit côté restes. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :go :files C:\Program Files (x86)\EoRezo :reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "EoEngine"=- ""=- [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"=- [-HKEY_CLASSES_ROOT\CLSID\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8}] [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c10dc1f4-ccdf-4224-a24d-b23afc3573c8}] :commands Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ce sont les boutons de JavaRa, une fois que tu as chosi la langue du programme.