Falkra

Mido1, ce n'est pas l'endroit pour débattre. Le groupe sécu désinfecte. Je t'ai déjà expliqué et redit ça d'ailleurs (la méthode virer 18 lignes HJT aussi, dans le genre, je te trouve très mal placé pour donner des conseils aux autres). Edit : ha oui éditer après les remarques qui suivent pour changer la donne, de mieux en mieux.

Autorise et fais mémoriser le réglage, tu devrais avoir la paix après, vérifie que lors d'un backup/restore tu n'aies pas des fichiers en lecture seule, des fois que. Si l'anglais ne te gêne pas, je peux aussi te proposer en test Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer.

De ce côté, c'est mieux. Est-ce que tu es en mesure de réinstaller McAfee si on le désinstalle temporairement ? Ce serait à faire.

Non, cela ne résoudrait pas nécessairement la question. Poste un nouveau rapport combofix et vois si après l'avoir posté le cpu est toujours à 100%, on va éliminer les possibilités une par une. Je ne suis pas sûr que McAfee soit clean dans cette affaire, d'ailleurs.

Réutilise Combofix (il te demandera de mettre à jour, dis lui oui). Après l'affichage du rapport (à poster), regarde si tu as encore 100% de CPU. Tu as une bestiole qui régénère, le reste est planqué mais ne s'affiche pas normalement. Je ne veux pas te faire prendre de risque en shootant un truc de trop et planter ta machine.

Est-ce que tu constates encore des symptômes anormaux ? Ce fichier n'est pas nécessairement nocif, mais j'aimerais le vérifier.

Bonsoir, la partie conversion des mails (vers le format universel EML) fait partie des fonctions gratuites du programme, seuls les backups et restaurations d'IncrediMail font partie des fonctions payantes ; fonctions qui ne servent pas dans le cas présent. Pourvu que ça dure.

Très bien. on va l'éliminer autrement. Je te demanderai en fin de parcours de me faire parvenir les fichiers infectés (uniquement). Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Le rapport HijackThis ne montre rien d'anormal en tout cas. Regarde dans le dossier "démarrage" du menu démarrer, des fois que. Vois dans : C:\Documents and Settings\Nom_Utilisateur\Menu Démarrer\Programmes\Démarrage C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage C'est ce qu'indique ce "common startup" listé par MSconfig.

En attendant, un truc rapide. Toujours une fois les ligns SSDT restaurées, (et uniquement après qu'elles le soient) refais un rapport RSIT stp. Il n'en fera qu'un (un seul fichier), c'est normal.

Fais une recherche globale avec l'outil de recherche windows, sur C:\ Menu démarrer, rechercher, fichiers ou dossiers. Entre spyl.sys comme nom et dis C:\ comme emplacement à rechercher.

Essaie. Une fois les lignes SSDT restaurées, et les fichiers masqués affichés (manip plus haut), tu peux essayer par la recherche windows.

Ne touche pas à combofix. Fais la manip dans Gmer, et cherche le fichier dans : c:\windows\system32\ c:\windows\system32\drivers\ Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php Si tu trouves le fichier nommé dans Gmer (aux lignes SSDT), fais un double sur ton bureau.

Fais clic droit, restore SSDT sur ces lignes (celles qui indiquent SSDT, le nom de fichier peut changer) SSDT spyl.sys ZwEnumerateKey [0xF8434CA2] SSDT spyl.sys ZwEnumerateValueKey [0xF8435030] Vois si ensuite tu peux trouver le fichier spyl.sys (ou nouveau nom) et le copier coller sur le bureau (pour ensuite l'analyser).

Ok, tout va bien ? Bagle s'attrape par des cracks, méfie toi, c'est fini l'époque des cracks sans risques, maintenant tout ça a été pris en main par les créateurs de malwares. Une petite vidéo d'exemple : Cracks, Keygens, ... es-tu sûr de ton choix ? Je te recommande un scan complet avec Antivir. Mets-le à jour d'abord (clic droit, start update sur l'icône près de l'horloge). Une fois à jour, double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Scan system now" à droite de "Last complete system scan". /!\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Report"). Si Antivir détecte des fichiers infectés, mets en quarantaine (choisis "Move to quarantine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller.

Ok, pas de problème. On voit ça quand c'est prêt.

Refais un rapport HijackTjhis en le démarrant par clic droit, exécuter en tant qu'admin stp, je pense que tu l'as oublié, à lecture du rapport.

Tu as très bien fait les manips. Et ça va aller mieux. Désactive L'UAC. Relance navilog1 via clic droit exécuter en tant qu'admin. Au choix des options (on a fait 1 et 2), choisis l'option 4 pour entrer manuellement un nom. Entre ceci et valide avec entrée : ycami Un rapport sera fait, à poster aussi. Après ce rapport, fais un nouveau rapport HijackThis (en le lançant par clic droit, exécuter en tant qu'admin). Réactive l'UAC en dernier. Ca va aller beaucoup mieux.

A-squared et ad-aware sont passablement dépassés. Je te recommande en remplacement MBAM, c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Site officiel : http://www.malwarebytes.org/ Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :

On nettoie. ** 1 ** Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 2. Suis les instructions et patiente. L'outil va t'informer qu'il redémarrera ton ordinateur. Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. Appuie sur une touche ainsi que demandé. Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. Choisis ta session habituelle si nécessaire. Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Ton Bureau va réapparaître. ** 2 ** Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. Réactive l'UAC.

Si tu as installé Tiny Proxy, normalement il te suffit de le désinstaller (par ajout/suppression de programmes). Autre option possible sans le désinstaller, ou si la désinstallation te coupe la connexion (normalement il doit en se désinstallant remettre les paramètres), relance hijackhtis, coche ces lignes et fais fix checked (en bas à gauche) : Teste ensuite avec IE.

C'est indiqué juste en dessous Pour désactiver l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection). * Démarrer > Panneau de Configuration * Double clique sur l'icône Comptes d'utilisateurs * Clique ensuite sur le bouton pour Désactiver et valide.

Bonjour, je vais te demander deux rapports d'analyse. ** 1 ** Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection). Démarrer > Panneau de Configuration Double clique sur l'icône Comptes d'utilisateurs Clique ensuite sur Désactiver et valide. Télécharge maintenant Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau. Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer. Attends la fin de l'installation. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". Sur le menu principal, choisis 1. Suis les instructions et patiente. Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps). Appuie sur une touche ainsi que demandé. Un document du Bloc-notes est créé : fixnavi.txt. Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. Referme le Bloc-notes. Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\) ** 2 ** Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance l'installation du programme en exécutant le fichier téléchargé. Double-clique maintenant sur le raccourci de Toolbar-S&D. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Ras, rien d'inquiétant là dedans. Pourquoi as-tu besoin de restaurer ? Ca plantouille ? (il nous reste à sécuriser tout ça)

Bonjour rien d'inquiétant dans ton rapport. Tu utilises Tiny Proxy, ça peut être ça qui met la zone dans ta connexion. Essaie sans et vois si c'est mieux.