Falkra

Et pas plus de symptômes depuis ? Parce que tout ça semble propre...

Bourré de cracks, pas étonnant que la machine soit infectée. Relance Lop S&D Choisis cette fois ci l'Option 2 (Suppression) Ne ferme pas la fenêtre lors de la suppression ! Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide) --------------- Ensuite, Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, navilog1 s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

Désinstalle Lop S&D via Ajout/suppression de programmes. - Il faut que tu fasses très attention lorsque tu installes des logiciels, notamment MSN/WLM Plus! (Messenger Plus! est installé), il y a des "sponsors" ou barres d'outils, des choses qu'on installe avec les programmes, et ce sont des infections. Exemple pour MSN Plus : Il faut surtout décocher cela lorsqu'on installe, et par défaut, c'est coché : si on ne fait pas attention, on est infecté. Pareil, ces programmes : à éviter. * Bitdownload * BitGrabber * BitRoll * BitTorrent Fastest Tool * divocodec * DivoPlayer * DomPlayer * Download Plugin * Gala Player * Get-Torrent * KitPlayer * NetPumper * Plugindl * TorrentQ * TorrentSoftware * Torrent101 * Winzix * 3wPlayer Ne pas (ré)installer. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Mouais, pas sûr que ton affaire soit nécessairement liée à du malware. Est-ce que windows les logiciels et drivers sont à jour ?

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé (même manip que précédemment). Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 2. Suis les instructions et patiente. L'outil va t'informer qu'il redémarrera ton ordinateur. Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. Appuie sur une touche ainsi que demandé. Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. Choisis ta session habituelle si nécessaire. Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Ton Bureau va réapparaître. Réactive le contrôle des comptes utilisateurs (UAC-User Account Control). Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK. Après le rapport de navilog1 option2, ajoute un rapport HijackThis stp, donc deux en tout.

Impeccable. Avec ce que tu as, tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Il est bien plus efficace qu'ad-aware et a-squared, que tu peux désinstaller, il les remplace aisément. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Télécharge et installe Avira anti rootkit tool : http://dlpro.antivir.com/down/windows/antivir_rootkit.zip Coche les trois cases, et fast scan, ça doit e^tre coché comme ici : Clique sur "start scan". S'il trouve des choses n'efface pas avec les boutons, mais poste le rapport (le bouton "view report" te le permettra).

Essaie une recherche dans tout C:\ Toujours 100% de CPU, sans McAfee ? Réparti sur plusieurs tâches, ce n'est pas le symptôme classique. Ensuite fais le rapport MBR rootkit detector stp.

Pas dramatique. La recherche ne donne rien j'imagine ? Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer, - Un rapport sera généré : mbr.log. Copie/colle le résultat de ce log dans ta réponse.

On y voit plus clair. restaure SSDT et Device, les 4 lignes. Tente une recherche après avoir rendu visibles les fichiers masqués et protégés de l'OS.

Ce sont des fihciers système verrouillés. C:\hiberfil.sys est le fichier d'hibernation de windows (quand on utilise la veille prolongée, il stocke le contenu actif de la machine). C:\pagefile.sys est le fichier d'échange (swap) celui qui contient les données de la ram stockée sur le disque dur quand celle-ci vient à manquer. C:\WINDOWS\system32\drivers\sptd.sys est un driver (SCSI Pass Through Direct Host), même mécanisme. Ils sont en effet tout à fait normaux. L'antivirus n'arrive pas à y accéder car ils sont verrouillés au plus haut niveau par windows, mais de façon légitime. Combofix s'est bien désinstallé ? Tout baigne alors.

Bonsoir, Désactive tes protections résidentes (Antivirus, ...) tu les réactivera après le scan Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide) Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Remplace ta version par celle là pour les prochains rapports HijackThis, la tienne est obsolète.

Le rapport est ok. Est-ce que tu constates encore des symptômes infectieux ?

Bonsoir, prescription du soir, une petite lecture de ma signature en attendant.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Désactive Antivir temporairement (clic droit sur son icône près de l'horloge, puis décoche "antivir guard enable". Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection) : Démarrer > Panneau de Configuration Double clique sur l'icône Comptes d'utilisateurs Clique ensuite sur Désactiver et valide. Télécharge maintenant Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau. Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer. Attends la fin de l'installation. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 1. Suis les instructions et patiente. Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps). Appuie sur une touche ainsi que demandé. Un document du Bloc-notes est créé : fixnavi.txt. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\) Réactive Antivir (clic droit sur son icône près de l'horloge, puis coche "antivir guard enable".

Une fois McAfee désinstallé, fais un rapport Gmer stp.

Tu as déjà effacé le fichier infecté, celui qui reste, dont le nom est proche, est ok. Tu peux garder MBAM, c'est un outil tout public, et efficace. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Poste un nouveau rapport Hijackthis après avoir changé de firewall. (désinstalle d'abord Kerio avant d'installer comodo : prends le setup 32bits).

Bonjour, BTFix n'est plus développé depuis belle lurette, et ne doit plus être utilisé (c'est son auteur, bibi26 qui dit ça, pas moi). Comme d'autres logiciels de ce type (et Toolbar S&D), les rapports peuvent lister (et supprimer) des objets légitimes, donc ils ne sont pas à utiliser sans supervision sur un forum, sous peine de problèmes potentiels ; le fait de passer sur un forum permet également de vérifier d'autres choses et remonter les infos aux créateurs d'outils, et les fiabiliser, améliorer, etc. Souvent on trouve d'autres choses au passage...

EoRezo est douteux : programmes normaux, mais distribués avec des installateurs modifiés à des fins de collecte statistiques... et ça installe quelques saletés (toujours dans cette optique de collecte de données). Il faut passer par les sites officiels pour installer les programmes, pour ces raisons parmi d'autres.

Ok. Poste un nouveau rapport HijackThis stp.

Gaffe, Java est Javascript, c'est différent. Ton firewall/pare-feu peut bloquer ça aussi (mais je n'en vois pas), BitDefender a priori n'est pas en cause. Va dans Ajout/Suppression de programmes et désinstalle On-Line Scanner si présent, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Ok, ça a viré un vieux reste. Tout tourne bien ?

Essaie avec un autre navigateur. Sinon ici : http://www.forospyware.com/sUBs/ComboFix.exe ou là : http://subs.geekstogo.com/ComboFix.exe Ce sont des liens officiels. Ne le télécharge pas ailleurs surtout.

Oui, c'est lié à RealPlayer. Est-ce que tu es en mesure de réinstaller McAfee si on le désinstalle temporairement ? Ce serait à faire.