Falkra

Parfait. Regarde dans C:\_OTMoveIt\ et C:\_OTMoveIt\MovedFiles\, tu devrais avoir un fichier zip, peux-tu me donner la taille du zip ? (clic droit propriétés) Il contient un fichier infecté, que j'aimerais récupérer. Dis moi si tu trouves bien le zip. En attendant, commençons à sécuriser un peu plus la machine. Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now")

Ne coupe pas les têtes trop vite. Pour le moment je ne vois pas les fichiers. Cela peut être un résidu... ou pas. Refais le même rapport Navilog1, depuis le compte (la session) "Doriane la star", sur la machine, stp.

Ca peut-être tout et n'importe quoi, la lenteur n'est pas un symptôme d'infection systématique. L'autre compte aussi a les bricopacks ? Fais un scan en ligne Kaspersky avec Internet Explorer : http://webscanner.kaspersky.fr/ Clique sur Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. Patiente pendant l'installation des Mises à jour. Choisis par la suite l'analyse du Poste de travail Sauvegarde puis colle le rapport généré en fin d'analyse. AIDE : Configurer le contrôle des ActiveX NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Oups, tu ne l'aurais pas réinfectée ? (Installation de MessengerSkinner, programme infectieux + un autre truc). Relance Navilog1, choisis l'option 1 et poste son rapport stp.

Pas grand chose d'intéressant a priori, mais as-tu essayé la manip de réparation du compte ?

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : :!: Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Désactive ton antivirus, il peut gêner. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

Tu dis avoir un keylogger. Est-ce toujours d'actualité ?Ton rapport est ok.

Poste un nouveau rapport HijackThis stp.

Fais moi une liste des extensions de Firefox stp, comme on a fait pour les plugins.

Poste un nouveau rapport HijackThis stp, il y a des choses à réparer.

Poste un nouveau rapport HijackThis stp. Plus de symptômes ?

LOL. Mention spéciale pour les bruits.

Ca va. Est-ce que les symptômes ont disparu ? Spybot n'est plus très bon. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Bagle, ça ne s'attrape pas seul, mais par des cracks. Ton système en contient, l'infection est logique. En plus certains cracks ont été infectés par d'autres saletés, en plus des virus qu'ils contenaient. Efface celui là stp, il est infecté (sûr à 100%) : Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Impeccable. Redémarre, puis poste un nouveau rapport HijackThis stp.

Re. Avant de reformater, essaie de créer un nouveau compte utilisateur (depuis le mode sans échec), voici un tuto : http://speedweb1.free.fr/frames2.php?page=bureau5#profil si ça ne marche pas tu pourras le supprimer. Si ça ne donne rien voici une autre méthode pour tenter de réparer un compte abimé : http://speedweb1.free.fr/frames2.php?page=bureau5#recup Tiens moi au courant. Merci à Gof.

Bonjour, bienvenue. Un modérateur va sans doute déplacer le sujet vers la section Sécurité >> Analyse rapports HijackThis, Eradication malwares, je te poste en dessous les infos pour le retrouver. http://forum.zebulon.fr/analyse-rapports-h...lwares-f51.html Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Pendant que tu fais tes sauvegardes (ce qui est toujours très bon, et à faire), je vais soumettre les rapports aux collègues. Dans le gestionnaire de périphériques (clic droit propriétés, sur le poste de travail), puis onglet matériel, puis bouton "gestionnaire de périphériques", est-ce que des conflits sont signalés, ou des périphériques inconnus ?

Ok, suis bien la procédure et poste le rapport quand il apparaîtra (le pc va redémarrer, et le rapport sera affiché), c'est long, mais ça vient.

Attention si tu fais une restauration consturcteur ça remet le pc à sa configuration lors de son achat, tu perds toutes les données du disque. Si tu optes pour cette solution sauvegarde d'abord tout ce qui est important car le disque dur va être intégralement réinitialisé. si tu as des doutes, ou des questions, pose-les avant.

Efface le fichier téléchargé. Tu l'as bien renommé avant qu'il soit sur ton bureau ? Au moment où on dit ùo télécharger et commenbt se nomme le fichier ? Si oui, essaie de renommer (avant téléchargement donc) combofix.exe en zeb.exe pour voir.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Ensuite relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Télécharge OTMoveIt2 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\system32\winsys2.exe Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Coche la case Zip files after move. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt2 Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Sauvegarde ce qui est important. Essaie une réinstallation sans pertes : http://www.micro-astuce.com/depannage/reparation-windows-XP (de préférence avec un CD XP avec déjà le SP2 intégré) Ce type de réinstallation te permet de récupérer les programmes qui étaient déjà installés. Sans ça on va y passer beaucoup trop de temps.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux. Attention à bien suivre ces instructions en détail, ne pas oublier de renommer combofix.exe AVANT qu'il ne soit téléchargé, quand on peut encore changer le nom du fichier et dire au navigateur où le télécharger. Télécharge combofix.exe de sUBs et renomme-le combo-fix.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Quelques restes malvenus ont été virés. Entre ces commandes une par une dans menu démarrer, exécuter, et valide avec entrée : sc delete hgypn sc delete jfdcd sc delete VFILT Essaie un redémarrage. Si ça ne donne rien, il faudra tester des réparations.