Falkra

Yep, on n'a pas terminé. Poste un nouveau rapport HijackThis stp.

Le rapport log.txt n'était pas dedans. Un résidu d'infection de clés USB à virer. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23a4aeec-a41e-11dd-903c-001d723b4154}] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Passe MBAM après ça, (voir plus haut, post d'Apollo).

Tu perdras tous les emails stockés si tu supprimes le dossier. Il vaut mieux mettre en quarantaine (pas de risque une fois dedans), parce que si çàa effaçait un truc de trop, on peut toujours restaurer, sinon, aucune possibilité.

Utilise ce lien pour télécharger vers le bureau LSA.reg (un fichier de registre) : http://www.sendspace.com/file/6rxzgb Une fois téléchargé sur le bureau, double-clique dessus et confirme pour l'ajouter au registre. Après ça, poste un nouveau rapport RSIT stp (il ne t'en fera qu'un seul).

Tu sais, ça revient au même, à l'arrivée. Poste c:\rsit\log.txt stp.

Tu peux supprimer tous les faux de paypal. Je te recommande un scan complet avec Antivir. Mets-le à jour d'abord (clic droit, start update sur l'icône près de l'horloge). Une fois à jour, double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Scan system now" à droite de "Last complete system scan". /!\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Report"). Si Antivir détecte des fichiers infectés, mets en quarantaine (choisis "Move to quarantine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller.

Non, attends pour mettre qoobox à la corbeille. Sans script, on peut essayer de le restaurer directement. Dans c:\qoobox\Quarantine\C\WINDOWS\system32\drivers tu trouveras un fichier igfxres.dll.vir Renomme-le en igfxres.dll (si tu ne vois pas les extensions) http://www.libellules.ch/afficher_fichiers.php Après l'avoir renommé, copie-colle le dans C:\WINDOWS\system32\drivers

C'est bien un FP, on va le restaurer par un script. fais moi signe quand ça roule.

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il peut largement remplacer spybot et ad-aware, qui sont dépassés. Si tu désinstalles spybot, reitre la vaccination d'abord. NB : désinstaller spybot n'est pas une obligation, ça cohabite. Tu as Norton, tu l'as acheté ou il se trouvait préinstallé à l'achat de ta machine ? (je dis ça parce qu'il n'est pas génialissime, mais que si tu as payé pour, autant fnir l'abonnement hein).

Le rapport est ok. Plus de symptômes ? (reste à sécuriser un peu)

Bah, merci à MBAM. Poste un nouveau rapport HijackThis stp, en effet ça doit aller mieux : belle récolte.

Ha ça, si. La version home/familiale te suffira, si tu n'as pas besoin de gestin de stratégies de groupe et autres machins réseau.

Mouais, ça promet, il est "à moitié" installé, en gros. Ca fait longtemps que tu l'as viré, IE, parce que la restauration système, ou une réinstallation sans pertes, par dessus, ça ce serait sans doute le plus propre, là c'est bien emmêlé.

Quel est le processus qui occupe le CPU, quand le problème se produit ?

Bonsoir, chaque procédure est à faire sur mesure, tu as bien fait. Je vais te demander 2 rapports. Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Files et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse. -+--------------- Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc.

Non, surtout pas (pas touche à combofix). Tu peux faire un zip avec les 5 fichiers ?

Ok, j'ai le zip, merci. Combofix avait déjà servi dans le passé, il ya une quinzaine de jours, il y avait d'autres bestioles à l'époque. Je vérifie pour un éventuel faux positif (un fichier viré en trop). Est-ce que les symptômes d'infection ont disparu ?

Ok, pas de souci pour winsys2, et j'ai le fichier. Poste un nouveau rapport hijackThis stp.

On a des trucs à se mettre sous la dent. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : @echo off echo. echo -=Extractions de la BdR=- echo. set cle=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa echo %cle% regedit /E c:\reggM1.txt "%cle%" echo ------------->>c:\reggM1.txt set cle=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks echo %cle% regedit /E c:\reggM2.txt "%cle%" echo ------------->>c:\reggM2.txt copy c:\reggM?.txt c:\regfile.txt>nul del c:\reggM?.txt notepad c:\regfile.txt del c:\regfile.txt Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Télécharge OTMoveIt3 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\WINDOWS\System32\dsauth32.dll :reg [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\6c37c379511] :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Je t'envoie par MP (messagerie privée) la procédure pour me poster le zip.

Poste le rapport MBAM stp, tu le retrouveras dans l'onglet logs/rapports, du programme.

Tout baigne, dans ce rapport. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : (ça retire un reste inactif d'une saleté qui a déjà été supprimée : sans danger). Cela créera un dossier "backups" près de l'icône hijackthis : normal. As-tu pu faire un zip du dossier c:\qoobox ?

Prend hijackthis.exe, là c'est normal, c'est RSIT qui a téléchargé ça, et renommé avec le nom de la session (Adrien), pas de souci. Pour le reste, ne t'inquiète pas : je vérifie quelque chose, qui m'étonne, mais qui n'est pas grave pour la machine.

Oki, ça va marcher. Ferme Windows mail. Va dans le dossier en question ("Courrier in 784"), trouve ces fichiers (gaffe à ne pas te tromper dans les chiffres, et déplace-les sur le bureau (ne double clique pas dessus), pas une copie, un déplacement (tu peux les couper-coller avec CTRL+X pour couper, et CTRL+V pour coller sur le bureau, ou clic droit couper, puis sur le bureau clic droit coller). Courrier in 784\18BE6784-0000024B.eml Courrier in 784\1A316362-00000252.eml Courrier in 784\1F3B58A5-0000024F.eml Courrier in 784\546F025E-0000024C.eml Courrier in 784\6CB26DEF-00000257.eml Je te demande de les déplacer pour pouvoir faire analyser et récupérer les bestioles, en fait.