Falkra

Bonjour, bienvenue sur le forum. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages On va regarder ce qui tourne sur le machine. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Re. Tu peux l'avoir ici.

Bon appétit ! tu peux poster les questions sur ces programmes ici, directement.

Ok. N'oublie pas de résilier l'option du fournisseur d'accès, sinon il prélèvera encore la somme tous les mois. Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now", prendre la version XP SP2/SP3 ici) Alors pour Antivir, tu peux l'installer. En pare-feu, une option en français : Online Armor free (gratuit).

Avec IE, les gestionnaires sont moins performants, et plus compliqués à utiliser en général. No more cookies par exemple (vérifier compatibilité IE7- : http://www.nomorecookies.com/index.html

Sérieusement et sans retenue, les options des FAI, c'est payant, et en gratuit on économise, avec souvent des logiciels meilleurs. Antivir est meilleur que McAfee et se débrouille mieux avec Bagle. Par contre Bagle ça se chope bien avec des cracks en général (9 cas sur 10), donc ce qui t'a infecté peut se trouver sur ta machine, ou la clé usb d'un ami, et ça serait bête de le rechopper comme ça. De toute façon, on ne juge pas, on te donne juste l'info pour que tu saches d'où ça vient probablement. Tu peux désinstaller combofix : entre CF /u dans la boite exécuter du menu démarrer. Après cela, efface ces dossiers s'ils existent encore. C:\QooBox C:\ComboFix

Le site semble avoir un problème. J'ai utilisé la procédure mail. Voici le rapport : ok. Complete scanning result of "hinsrv.exe", processed in VirusTotal at 11/23/2008 11:29:52 (CET). [ file data ] * name..: hinsrv.exe * size..: 81920 * md5...: b2f92c540fc7ec9647e16ecdcd746288 * sha1..: 458ea65c4267273042815561e4f0426fb489b177 * peid..: Armadillo v1.71 [ scan result ] AhnLab-V3 2008.11.21.0/20081122 found nothing AntiVir 7.9.0.35/20081121 found nothing Authentium 5.1.0.4/20081122 found nothing Avast 4.8.1281.0/20081122 found nothing AVG 8.0.0.199/20081122 found nothing BitDefender 7.2/20081123 found nothing CAT-QuickHeal 10.00/20081121 found nothing ClamAV 0.94.1/20081123 found nothing DrWeb 4.44.0.09170/20081123 found nothing eSafe 7.0.17.0/20081119 found nothing eTrust-Vet 31.6.6222/20081122 found nothing Ewido 4.0/20081123 found nothing F-Prot 4.4.4.56/20081122 found nothing F-Secure 8.0.14332.0/20081123 found nothing Fortinet 3.117.0.0/20081123 found nothing GData 19/20081123 found nothing Ikarus T3.1.1.45.0/20081123 found nothing K7AntiVirus 7.10.531/20081122 found nothing Kaspersky 7.0.0.125/20081123 found nothing McAfee 5442/20081122 found nothing McAfee+Artemis 5442/20081122 found nothing Microsoft 1.4104/20081123 found nothing NOD32 3632/20081121 found nothing Norman 5.80.02/20081122 found nothing Panda 9.0.0.4/20081122 found nothing PCTools 4.4.2.0/20081122 found nothing Prevx1 V2/20081123 found nothing Rising 21.04.62.00/20081123 found nothing SecureWeb-Gateway 6.7.6/20081123 found nothing Sophos 4.35.0/20081123 found nothing Sunbelt 3.1.1823.2/20081122 found nothing Symantec 10/20081123 found nothing TheHacker 6.3.1.1.160/20081123 found nothing TrendMicro 8.700.0.1004/20081122 found nothing VBA32 3.12.8.9/20081122 found nothing ViRobot 2008.11.18.1474/20081118 found nothing VirusBuster 4.5.11.0/20081122 found nothing Est-ce que la machine présente encore des symptômes infectieux ? (le rapport HijackThis est ok) Il te faut un antivirus, je te recommande (en gratuit) Antivir. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php

Je vais l'analyser moi-même, je te MP comment me l'envoyer.

Est-ce que tu as essayé de copier coller le fichier sur le bureau ?

Essaie de copier coller (faire un double) le fichier C:\windows\system32\hinsrv.exe sur ton bureau, et d'envoyer celui du bureau sur virustotal, on ne sait jamais.

Ca devrait durer quelques secondes pour l'upload, et une minute ou deux pour l'analyse elle-même, le temps de faire le rapport.

Re. Ce n'est pas normal ça, tu as bien fait de demander. Ferme le navigateur, et réessaie. Si ça fait pareil, essaie ça. menu démarrer, exécuter, tu entres cette commande : sc stop Hinsrv (valide avec entrée) Et là tu réessaie virustotal.

Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\hinsrv.exe Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Ca doit aller mieux, côté machine ! Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Ca doit aller encore mieux. Tu peux désinstaller Lop S&D (ajout/suppression de programmes, sinon, supprimer l'icône du bureau). On continue (on a bien avancé). Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

On nettoie ! Relance Lop S&D Choisis cette fois ci l'Option 2 (Suppression) Ne ferme pas la fenêtre lors de la suppression ! Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

On continue, n'efface pas combofix, on le désinstallera nous-mêmes (procédure spéciale). Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Bonsoir, avec Firefox, il y a l'extension Cookie Safe Lite (CS Lite). Le site officiel de CookieSafe Lite est le suivant : http://forum.softwareblaze.com/ Installation par addons.mozilla.org : https://addons.mozilla.org/fr/firefox/addon/5207 Mini tuto : http://www.libellules.ch/cookiesafe.php

Bonsoir, non on ne voit rien de particulier. On va faire quand même quelques petits tests. Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, navilog1 s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

On continue, il y a des traces de plusieurs autres infections ; on ne va pas tout traiter avec combofix, on continuera avec d'autres outils. :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Arf, mais c'est ton 4eme rapport de CF, tu l'avais déjà utilisé avant ce soir ?

Il ne faut rien faire pendant que CF tuorne (voir procédure). Ferme tout ça et laisse tourner. Mode normal, c'était... mieux. Arf. Poste le rapport quand il sera affiché, ça prend un moment. Ne l'interromp pas.

Ok, dégage le fichier téléchargé, recommence en renommant en "CF.exe" pour voir.

Yep, enfin comme on n'a pas pu essayer de dépanner ça...

Bonsoir, oublie EliBagla (et autres outils spéciaux) pour ça. On va s'en occuper. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le combo-fix.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).