Falkra

No action taken indique que tu n'as pas supprimé. MEts à jour et supprime. EoRezo fait partie des douteux : c'est un réseau de distribution de programmes normaux/classiques, mais mis à disposition avec des installateurs modifiés à des fins de collecte statistiques... et ça installe au passage quelques saletés (toujours dans cette optique de collecte de données), et ça détourne les navigateurs. Ne passe plus par leur(s) site(s). Fais bien attention à ce que tu installes, c'est comme ça que ta machine attrape tout ça.

On va vacciner la machine, mais là, impossible d'accéder aux clés en effet. (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir. Double clique UsbFix.exe présent sur ton bureau. Au menu principal choisis l'option " F " pour français. Au second menu Choisis l'option 2 ( Suppression ). Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. Le bureau disparaitra et le pc redémarrera. Au redémarrage, le fix se relance... laisse l'opération s'effectuer. Un rapport de nettoyage est proposé... appuie sur une touche pour ouvrir ce rapport. le rapport UsbFix.txt est sauvegardé à la racine du disque. Tuto : Tutoriel UsbFix

Bonjour, ce sont des popups de pub qui s'affichent ? Le rapport ne montre rien de spécial, mais il ne montre jamais tout. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Tu n'y es pour rien toi. On va virer 2-3 restes. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\Users\Anaëlle\AppData\Roaming\yftza.exe C:\Users\Anaëlle\AppData\Roaming\mrpky.exe :Services rootrepeal :commands [zipfiles] [emptytemp] [start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ca c'est très bien. On va regarder ça. Télécharge UsbFix( de Chiquitine29 et C_XX ) sur ton Bureau : Branche tes sources de données externes à ton PC ( clé USB, disque dur externe, etc... ) susceptibles d'avoir été infectées sans les ouvrir, s'il propose un formatage tu dis non et tu les laisses branchées. Double-clique sur UsbFix.exe sur ton Bureau. Au menu principal choisis l'option " F " pour français. Choisis l'option 1. Poste le rapport UsbFix.txt. le rapport UsbFix.txt est sauvegardé à la racine du disque. Note : Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) Tuto : Tutoriel UsbFix

Bonjour, on trouvera tout et son contraire en terme de témoignages. Si ton alimentation a grillé, c'est en effet pas de chance (et c'est très désagréable), mais a priori c'est qu'elle devait avoir une faiblesse. Je fais tourner Boinc (programme dans l'esprit de Folding@Home) à 100% de CPU toute la journée, sans problème.

OK. Poste un nouveau RSIT stp.

Ca m'a l'air très bien. Comment se comporte la machine ?

Quand la fenêtre est affichée, est-ce que tu peux copier coller ou sauvegarder le rapport ? Le but est de l'avoir ici, soit par copier coller sauvegarder, mais tant que tu peux le poster, ça marche.

C'est fait. Le sujet est dans # Sécurité # > Sécurisation, prévention.

Bonjour, ton ordi ne semble pas infecté, mais encombré ça oui. Je transfère vers l'autre section, avec option sécurisation.

Bonsoir, voici le script, va sur la page : © CJoint.com, 2008 Et là fait FICHIER, ENREGISTRER SOUS et tu auras le fichier CFscript.txt (donne ce nom là).

Merci Mark. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : Download Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Les connexions d'IE passent par un Proxy (chez free apparemment), c'est voulu et normal ? Cela semble être un proxy anonymiseur, tu dois savoir pourquoi c'est là, mais je préfère le mentionner. Le rapport est propre, c'était bien le dernier. Nettoyage : Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! Désinstalle apple/bonjour par ajout/suppression de programmes. Protections : Je te conseille de supprimer Windows Defender car il n'est plus maintenu par Microsoft et appelé à disparaître. MBAM le remplace très bien. Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace. Voici un tuto en français : Online Armor Free : pare-feu et HIPS - InfoMars.fr A faire si le HIPS ne t'intéresse pas, désactiver le "gardien des programmes" depuis une des icônes près de l'horloge (clic droit). Sécurisation et mises à jour : De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Passe à Vista SP2, puis par Windows updates régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. PSI - Consumer - Products JavaRa peut t'y aider pour Java : RaProducts - Products Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Pas bon ça, tu as essayé avec l'antivirus désactivé ? Si ça ne passe pas, essaie ceci à la place. Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous: http://ad13.geekstogo.com/RootRepeal.zip http://rootrepeal.googlepages.com/RootRepeal.zip http://rootrepeal.psikotick.com/RootRepeal.zip Enregistre le fichier sur ton Bureau. Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\) Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal) Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur). /!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils. /!\.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane ) Clique sur l'onglet Report (en bas de la fenêtre) puis sur le bouton Scan. Dans la nouvelle fenêtre Select Scan, coche: Clique sur le bouton OK Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\) Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active. Lorsque l'analyse est terminée, un rapport va s'ouvrir, ferme le. Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepealn1.txt Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme. /!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\ --> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepealn1.txt) Note: Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

MBAM semble avoir fini, depuis la mise à jour. Poste un rapport HiajckThis frais stp, le dernier peut-être.

Ca, c'est très très bien. Télécharge le fichier extraction.bat ici, pour nettoyer les restes : senduit | Share easily. Exécute le fichier avec droits administrateur, il va faire un rapport que tu pourras poster, on va regarder des clés de registre à réparer. Le plus gros est fait !

Là ça a l'air bon, mais il faut voir après un autre redémarrage.

Tu as bien fait les manips. Il reste un coriace qui s'accroche, on, va y regarder de plus près. Télécharge GMER Rootkit Scanner du lien suivant : GMER - Rootkit Detector and Remover - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections, IAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Il faut réparer le secteur de démarrage. Au démarrage de la machine, choisis de "Réparer votre ordinateur" (via F8 donc). Choisis ensuite l'option "Invite de commandes". À l'invite, tape ceci : bootrec /fixmbr et valide avec la touche [Entrée] (il y a un espace après "bootrec") Après redémarrage en mode Normal, relance ComboFix (accepte la mise à jour de l'outil proposée dès son lancement).

Voici un autre lien. senduit | Share easily.

Télécharge GMER Rootkit Scanner du lien suivant : GMER - Rootkit Detector and Remover - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections, IAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Regarde si tu as l'option de "Réparer votre ordinateur" via le menu du F8 (au démarrage). Si oui, ce sera plus simple pour la suite.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Si tu es sous XP, double-clique sur RSIT.exe afin de lancer RSIT, pour Windows Vista ou Windows 7, démarre-le avec droits administrateur (clic droit, exécuter en tant qu'administrateur), en réglant le mode de compatibilité sur XP, dans les propriétés (clic droit, propriétés). Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Te souviens-tu du fichier mentionné ? Vois si tu as un fichier c:\bug.txt (si oui poste-le). Attends avant de repasser.