Falkra

Au contraire, venant de MBAM c'est très bon signe. (d'autres programmes, pas forcément). Clique sur ce lien pour télécharger HijackThis 2.0.2 (à reprendre pour écraser ta version, Bagle a pu l'injecter) : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

C'est un complément à Antivir. Antivir est un antivirus, il scanne ton disque dur et les fichiers créés en quête d'infections. Le firewall/pare-feu s'occupe de protéger le PC contre les connexions de l'extérieur ou les fuites de données vers l'extérieur, en autorisant ou non les programmes à avoir accès à internet. Les deux sont nécessaires. MBAM complète tout ça en permettant la recherche de malwares, son travail commence là où celui de l'antivirus s'arrête (et inversement). Le tout est d'avoir un programme actif de chaque spécialité. N'hésite pas à poser des questions.

C'est un fichier qui appartient à ClamAV (l'antivirus). tu as installé ClamAv, ou Spyware Terminator ?

Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Fais un clic droit sur l'icône IE du bureau, onglet sécurité, zone internet et règle en "moyen haut" le niveau de sécurité. Réessaie.

Tu peux désinstaller combofix : entre combo-fix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Efface le cfsript.txt Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Tu peux désinstaller regscanner. Balge s'attrape par des cracks. Une vidéo mieux que des discours, et bien faite : Cracks, Keygens, ... es-tu sûr de ton choix ? Et un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

C'est fait, on l'a viré. Je t'ai posté la liste pour les éviter à l'avenir, on les a shootés avec fixnavilog. Boonty, tu veux garder ou pas ?

As-tu autorisé l'ActiveX comme ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

Bonsoir, bienvenue sur le forum. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le combo-fix.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

C'est bon. Est-ce que le PC est toujours aussi lent ? Tous tes programmes de sécurité fonctionnent ? Plus de messages "xyz n'est pas une application Win32 valide" ?

Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\CLSID\{064C57B4-B9EC-425F-B9B3-BCEFFEEA74D9}] [-HKEY_CLASSES_ROOT\CLSID\{0755E4F0-3F92-4A67-AD14-E9F287F76FBC}] [-HKEY_CLASSES_ROOT\CLSID\{2260D608-C844-435D-90FD-DC16CFA577F2}] [-HKEY_CLASSES_ROOT\CLSID\{BCEB373D-A35A-4200-BD43-8586CD9DFAE7}] [-HKEY_CLASSES_ROOT\SmartShopper.HbAx] [-HKEY_CLASSES_ROOT\SmartShopper.HbAx.1] [-HKEY_CLASSES_ROOT\SmartShopper.HbInfoBand] [-HKEY_CLASSES_ROOT\SmartShopper.HbInfoBand.1] [-HKEY_CLASSES_ROOT\SmartShopper.IEButton] [-HKEY_CLASSES_ROOT\SmartShopper.IEButton.1] [-HKEY_CLASSES_ROOT\SmartShopper.IEButtonA] [-HKEY_CLASSES_ROOT\SmartShopper.IEButtonA.1] [-HKEY_CLASSES_ROOT\SmartShopper.IEButtonB] [-HKEY_CLASSES_ROOT\SmartShopper.IEButtonB.1] [-HKEY_CLASSES_ROOT\TypeLib\{2615F050-9C18-4267-B711-8E3687DC0145}] [-HKEY_CLASSES_ROOT\TypeLib\{CA295D63-514A-4ED0-9B5F-640890F2366B}] [-HKEY_CLASSES_ROOT\TypeLib\{CB0D9D8C-535E-4352-BA8F-65C3C8676612}] [-HKEY_CURRENT_USER\Software\SmartShopper] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{064C57B4-B9EC-425F-B9B3-BCEFFEEA74D9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0755E4F0-3F92-4A67-AD14-E9F287F76FBC}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2260D608-C844-435D-90FD-DC16CFA577F2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BCEB373D-A35A-4200-BD43-8586CD9DFAE7}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.HbAx] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.HbAx.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.HbInfoBand] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.HbInfoBand.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.IEButton] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.IEButton.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.IEButtonA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.IEButtonA.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.IEButtonB] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SmartShopper.IEButtonB.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2615F050-9C18-4267-B711-8E3687DC0145}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CA295D63-514A-4ED0-9B5F-640890F2366B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CB0D9D8C-535E-4352-BA8F-65C3C8676612}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0}] [-HKEY_LOCAL_MACHINE\SOFTWARE\SmartShopper] [-HKEY_USERS\S-1-5-21-2366889638-2943842472-3023055691-1007\Software\SmartShopper] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Ferme Internet Explorer. Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Ensuite, poste un rapport HijackThis stp.

Le rapport est ok ! Une de tes infections, Magic Control, s'attrape spécialement en installant un de ces logiciels : # LivePlayer (live-player.com) # Go-astro # Favorit # GoRecord # HotTVPlayer # MailSkinner # Messenger Skinner # Instant Access # InternetGameBox # Sudoplanet # games-desktop.com # WebMediaplayer sauf celui du créateur Florian Delaunay -> http://www.azertysite.new.fr/ Ne jamais (ré)installer. Voici un extrait de la politique de Boonty, dont un service tourne ici, tu as accepté ces conditions d'utilisation en installant le produit : NB : Supprimer le service et/ou désinstaller cela peut empêcher le fonctionnement de certains petits jeux, mais je peux te proposer de quoi le désinstaller proprement.

Bonjour, c'est lié à windows media player 11 a priori. Mets tout ça à jour, et ça doit rentrer dans l'ordre.

Ok, essaie la recherche avec comme critère "SmartShopper". Tu as sélectionné tout dans "Scan the following base keys" ?

Bien, on tient le bon bout ! Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe *** Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (cela donne C:\SDfix). :!: Imprime ou note ce qui suit, tu n'auras pas accès à internet. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur. Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde suffit). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le nettoyage. SDFix va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! Si SDfix ne se lance pas (ça arrive!) * Démarrer->Exécuter * Copie/colle ceci: * Clique sur ok, et valide. * Redémarre et essaye de nouveau de lancer SDfix.

En 3 semaines, il a dû se passer des choses, poste un nouveau rapport HijackThis stp.

Un faux positif est une erreur de détection d'antivirus, ça peut arriver, de temps en temps. Est-ce que tu peux accéder au fichier ? Il me faudrait son chemin exact (tu l'as posté, mais en abrégé)

L'idée de créer un nouveau compte consistait ensuite à intervertir les noms de dossiers entre le compte nouveau et l'ancien qui ne fonctionnait plus. Le blocage se produisant avant, cela dépend du reste également. As-tu essayé de démarrer la machine sans aucun périphérique USB ni réseau ?

Télécharger et installe regscanner. Lance-le depuis le raccourci du menu démarrer ou du bureau. Ca ouvre une fenêtre "Registry scan options". Dans "Find string" entre C:\Program Files\SmartShopper\Bin\2.5.0\SmrtShpr.dll" sans les guillemets. En bas à droite dans "Scan the following base keys" sélectionne-les toutes, tout doit être grisé. Clique sur ok. Ca cherche. Une fois la recherche finie, fais CTRL+A pour tout sélectionner, puis CTRL+S pour sauvegarder. Sauvegarde un fichier texte sur ton bureau, avec le nom de ton choix. Poste le contenu de ce fichier texte dans ta prochaine réponse stp.

Le rapport ne montre pas d'infection active. C'est le nom du fichier qui apparaît avec ces pointillés ? Si le nom est long, windows abrège et met des points de suspension. Est-ce que c'est ça ?

Super ! Spybot et Ad-Aware se font vieux, et ont du mal, depuis longtemps, sur les plus coriaces, qui en profitent bien. Je te propose à la place MBAM (malwarebytes' antimalware), le plus avancé techniquement. C'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande, sans encombrer la mémoire ni ralentir la machine. Si tu veux faire un test : Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ok, je t'ai posté par MP de quoi m'envoyer le zip, pour analyses complémentaires de ce fichier.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Bagle a certainement endommagé l'antivirus. Désinstalle Antivir, puis réinstalle-le. Je te donne un lien direct pour le télécharger à nouveau : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

Ok, reste dans cette session là et passe l'option 2 (tu as l'habitude maintenant), ça nettoiera ça. Poste le rapport d'option 2, puis un rapport HijackThis stp. On y arrive. Il restera une bestiole après, mais déjà ça dégagera le paysage.

A lire le rapport, il y a encore des restes d'Avast en mémoire. Utilise cet utilitaire officiel s'il y a des restes : http://www.avast.com/fre/avast-uninstall-utility.html Ce dossier ne devrait plus exister : C:\Program Files\Alwil Software Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Dans ton gestionnaire des tâches, regarde (onglet processus) quel processus bouffe le CPU, tu peux trier en cliquant sur les en-têtes des colonnes.