Falkra

Il y en a partout, et de tout. Les clés USB sont peut-être infectées également. Branche tes supports amovibles, clés USB, disques externes, tout ce que tu peux (et laisse-les branchés) avant ce qui suit. Laisse-les bvranchés (sans aller spécialement dedans) le temps de toutes ces manips, et après redémarrage de combofix. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

J'ai les fichiers, super. Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! Tu peux supprimer Systemlook à la main. Ta version d'Antivir est celle avec Firewall ?

Bonjour, bienvenue. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Bonjour eva-chan, crée ton propre sujet stp, là tu es dans le sujet de quelqu'un. Nous traitons les machines sur-mesure, donc il y a un sujet par machine. Le bouton sert pour créer un sujet, la première fois uniquement, tu n'en as plus besoin après. Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton . (celui qui a un petit +, pas celui avec les guillemets) Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages

Bonjour, change le port dans les paramètres des comptes (menu outils). si on multiplie les demandes sur les forums, on mobilise beaucoup de monde pour rien, généralement le premier à répondre est remercié et les autres oubliés. http://www.libellules.ch/phpBB2/avast-5-0-...ail-t35176.html http://forum.zebulon.fr/avast-5-t175214.html http://forum.telecharger.01net.com/microhe...messages-1.html http://forum.pcastuces.com/sujet.asp?s=175629&f=1 Ce n'est pas correct, comme démarche. Tu vas au supermarché avec 2 personnes, vous faites la queue à 3 caisses pour ensuite aller à la plus rapide ?

Le système est propre. Tu dois avoir un zip contenant des fichiers infectés dans : C:\_OTM\MovedFiles\ Peux-tu me le poster (instructions par MP) ? Ces fichiers infectés seront envoyés aux éditeurs pour une meilleure prise en charge.

Est-ce que la machine tourne bien actuellement ? Le rapport ne présente plus d'infections ou d'indésirables. Pour l'autre machine, il faudra créer un nouveau sujet dans la section : nous traitons sur-mesure, une machine par sujet. N'hésite pas. EroRezo est un indésirable.

Pan dans EoRezo. EoRezo fait partie des douteux : c'est un réseau de distribution de programmes normaux/classiques, mais mis à disposition avec des installateurs modifiés à des fins de collecte statistiques... et ça installe au passage quelques saletés (toujours dans cette optique de collecte de données), et ça détourne les navigateurs. Ne passe plus par leur(s) site(s). Plus de traces d'eux ? Essaie d'ouvrir un nouveal onglet dans Internet Explorer pour voir.

J'ai mis :nop exprès, écoute si tu ne suis que la moitié des insctructions, on va avoir du mal non ? A ce train là je ne peux pas te prescrire de manips à risque, du coup (logiquement on n'en a pas besoin, mais bon). Poste un nouveau rapport RSIT stp, de toute façon la machine est ok là.

Je te conseille Antivir, léger, gratuit, en français et surtout réactif. Voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php En pare-feu je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace. Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 ----------- Si ça redémarre tout seul ça peut être un problème d'alimentation, ou un écran bleu. Dans "propriété du système", onglet "paramètres système avancés", ligne "démarrage et récupération" clique sur "paramètres" ensuite décoche la case "redémarrer automatiquement". En cas d'écran bleu ça affichera (note le type d'écran bleu et l'erreur), au lieu de redémarrer.

Le plus gros est déjà fait, là c'est du nettoyage cosmétique. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :nop :files C:\Documents and Settings\OKvfXHvBFWK\Menu Démarrer\Programmes\Démarrage\desktop(2)(2).ini C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop(2)(2).ini C:\Documents and Settings\OKvfXHvBFWK\Menu Démarrer\Programmes\Démarrage\desktop(2).ini C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop(2).ini C:\Documents and Settings\OKvfXHvBFWK\Menu Démarrer\Programmes\Démarrage\desktop(3).ini C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\desktop(3).ini Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

L'ordre compte, j'au exprès donné cet ordre là pour les opérations, pourquoi ne pas l'avoir fait dans l'ordre... ? O4 - S-1-5-18 Startup: desktop(2)(2).ini (User 'SYSTEM') O4 - S-1-5-18 Startup: desktop(2).ini (User 'SYSTEM') O4 - S-1-5-18 Startup: desktop(3).ini (User 'SYSTEM') O4 - .DEFAULT Startup: desktop(2)(2).ini (User 'Default user') O4 - .DEFAULT Startup: desktop(2).ini (User 'Default user') O4 - .DEFAULT Startup: desktop(3).ini (User 'Default user') Télécharge SystemLook de Jpshortstuff sur ton Bureau à partir d'un des liens ci-dessous. Miroir de téléchargement #1 Miroir de téléchargement #2 Double-clique sur SystemLook.exe pour le lancer. Clic droit|Copier le contenu du cadre ci-dessous et clic droit|Coller dans la zone texte de SystemLook : :filefind desktop(2)(2).ini desktop(2).ini desktop(3).ini Clique sur le bouton Look pour démarrer l'examen. A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse. Nota Bene : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

Bonsoir, la machine est polluée. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

La procédure normale consiste à la désinstaller par ajout/suppression de programmes. L'utilitaire dédié n'est à utiliser que si cette solution ne fonctionne pas.

Bonsoir, Ha bon, SP2 ? C'est un Windows modifié ?

Il y a une icône, près de l'horloge, oui.

N'oublie pas que MBAM doit être démarré avec droits administrateur. Si ça ne change rien, voici ce qu'il faut d'abord faire. Désinstalle MBAM par ajout/suppression de programmes. Redémarre (important et indispensable). Télécharge et exécute MBAM clean : http://www.malwarebytes.org/mbam-clean.exe Il te demandera de redémarer (important : fais-le). Réinstalle depuis ce lien : http://www.malwarebytes.org/mbam-download.php Suivant ton antivirus il peut être nécessaire d'ajouter à la liste d'exclusions (fichiers non scannés par l'AV ceci) : Pour Windows Vista ou Windows 7: * C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe * C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe * C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe * C:\Program Files\Malwarebytes' Anti-Malware\zlib.dll * C:\Program Files\Malwarebytes' Anti-Malware\mbam.dll * C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll * C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref * C:\Windows\System32\drivers\mbam.sys * C:\Windows\System32\drivers\mbamswissarmy.sys Pour les versions 64 bit de Windows Vista ou Windows 7: * C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe * C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe * C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe * C:\Program Files (x86)\Malwarebytes' Anti-Malware\zlib.dll * C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.dll * C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamext.dll * C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref * C:\Windows\System32\drivers\mbam.sys * C:\Windows\SysWoW64\drivers\mbamswissarmy.sys

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Ne le réactive pas : ça ne sert pas à grand chose. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : TeaTimer a pu en remettre. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Il y a des saletés, mais ce n'est pas la mort non plus. On va par contre donner un grand coup de balai. Il faudrait lancer tout ça depuis un compte admin. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Ensuite, Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\WINDOWS\system32\aYnBimLbr.dll C:\WINDOWS\system32\ah04h8gqo.exe C:\WINDOWS\system32\tmp.txt C:\WINDOWS\System32\Drivers\hxctlflt.sys :reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLS"="" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- "DisableRegistryTools"=- "EnableLUA"=- :Services hxctlflt ids00026 klstm mbr MEMSWEEP2 TSP :commands [zipfiles] [emptytemp] [reboot] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Spybot ne fournit pas une vraie protection en temps réel. TeaTimer ne surveille que x points du registre, ce n'en est pas une. NB : ce type de protection temps réel est un plus, mais n'est pas indispensable. Très bon choix s'il n'y en a qu'un à faire. Tu as entré ta licence, mis à jour, redémarré ?

Oui, bien sûr, si tu veux une analyse de la machine, c'est fait pour.

Je t'ai dit qu'il n'y avait rien d'infectieux dans les rapport que tu as posté et qu'est-ce qu'on voit dans le premier post ? et dans ton 2eme : Donc on retombe dans le même schéma que tes topics précédents : ce que tu postes est incohérent, et on n'arrive pas à travailler avec. Si tu dis : Alors la machine est propre, une fois les paramètres d'usine remis en place. C'est plutôt les logiciels comme Registry Booster qui peuvent provoquer des problèmes. Si l'appareil est sous garantie, puisque ça semble être un PC de marque avec DVD de restauration d'usine, fais-le examiner par un SAV, ça ira plus vite.

Bonjour, attention à ne pas enchaîner les outils sans savoir où ils peuvent nous mener, surtout combofix. Tu n'as pas besoin de SmitFraudFix. Reste en mode normal. Tu n'es pas administrateur de ta machine, depuis le compte que tu utilises actuellement ? Essaie d'abord ceci. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Bonsoir, je vous laisse prendre connaissance de ceci : http://forum.zebulon.fr/detection-et-suppr...le-t174544.html http://www.libellules.ch/phpBB2/detecter-e...nce-t35055.html http://www.libellules.ch/phpBB2/mais-qu-est-ce-t35060.html http://www.commentcamarche.net/forum/affic...role-a-distance Bon courage.

MBAM suffit amplement, mais pour t'expliquer ça plus clairement, Spybot, pour simplifier il a une liste de spywares, et il affiche qu'il vérifie la présence de l'infection A, puis la B, puis la C, etc... c'est archaïque et interminable. Concrètement, le programme passe en revue toute sa base de données et tout ce qu'il connait, au lieu de scanner les fichiers présents sur le disque dur. Cette conception est plus qu'obsolète, et insuffisante sur nombre de menaces sophistiquées.