Falkra

Parfait. Tu peux faire le rapport Navilog1 (UAC toujours OFF).

Vas-y Angelique, tu as eu les infos avant, et tu disposes de plus de données que moi. :P

Ok, si c'est tout ce qu'il y a, tu peux effacer le zip. Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (bientôt disponible en français) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php

Bonjour, Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer, - Un rapport sera généré : mbr.log. Copie/colle le résultat de ce log dans ta réponse.

C'est juste un message comme un fichier journal. Rien à craindre de ça. Menu outils, console d'erreurs, bouton "effacer" pour purger. Regarde dans l'onglet "plugins" des modules complémentaires.

En cas de faux positifs potentiels, la quarantaine permet de restaurer les objets. Parfois il est bon de les y laisser un peu de temps. Rien à craindre une fois dedans ils ne sortent pas. Tu peux purger la quarantaine d'Antivir en faisant comme suit : double clique sur l'icône d'Antivir, près de l'horloge, pour ouvrir l'interface principale. Dans la colonne de gauche clique sur "Administration", puis "Quarantine", qui apparaît dessous. Sélectionnant le ou les fichiers, puis clique sur le bouton qui représente une corbeille. En image : Le périphérique pas prêt, pas de soucis ici a priori. On peut faire un micro test rapide. Télécharge MBR Rootkit Detector 0.2.4 by gmer et enregistre-le sur le bureau Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer, - Un rapport sera généré : mbr.log. Copie/colle le résultat de ce log dans ta réponse.

Des restes de SmitFraudFix, je parie que tu as testé au pif le maximum d'outils. Ce qui arrive est logique. Voilà une des raisons pour lesquelles on demande aux gens de suivre nos conseils et n'utiliser ces outils que sous supervision. Ton rapport est clean. Ton lsass est légitime, et c'est celui de windows. Pour ce qui est d'éventuelles ouvertures de ports, vois ici, les conseils d'Angélique : http://forum.zebulon.fr/resoluport-4500-ou...00-t136434.html

Combofix ne doit pas être utilisé en dehors d'une supervision sur forum par un membre qualifié. Mets à jour MBAM (malwarebytes). Fais une recherche rapide et poste le rapport obtenu stp.

Isass est un faux. lsass est un vrai, mais il faut aussi vérifier les dossier où ça se trouve. PAS DE PANIQUE. De toute façon même en cas d'infection, on l'aura. La panique fait faire de fausses manips qui peuvent coûter cher. a) Poste ton ancien rapport antivir (comme demandé). b) Poste un rapport HijackThis stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Bonjour, tu peux lire tous les anciens rapports : ouvre Antivir (double-clique sur son icône près de l'horloge), clique sur "Overview" dans la colonne de gauche, puis sur "Reports" et trouve la ligne qui correspond à ton rapport elle doit s'appeler Scan, puis double clique dessus : là tu auras un bouton "Report file" pour lire et/ou poster le bon rapport.

Ca fait dossier vide ça, double clique sur le zip, je parie qu'il contient un dossier, et dans le dossier, rien.

C'est parfait ! Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ok, poste un nouveau rapport HijackThis. Ca doit aller.

Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Désactive ton antivirus, il peut gêner. Ouvre le Bloc-notes. Vérifie que dans le menu "Format", le "retour automatique à la ligne" est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

On a fait l'option 1 pourtant. Si ça ne passe pas, refais l'option 1, puis refais juste après l'option 2 et poste le rapport de l'option 2.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Tu dois avoir un fichier ZIP dans C:\_OTMoveIt\ ou C:\_OTMoveIt\MovedFiles\ peux-tu me dire combien il pèse ? (clic droit, propriétés, dessus) ------- Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (bientôt disponible en français) et surtout bien plus efficace. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php

Ok, fais le 2eme rapport navilog 1 option 2 stp et poste son rapport.

En partie, La GamesBar est infectieuse, une toolbar qu'on installe avec des programmes. Mais tu as aussi installé InternetGameBox, un programme infectieux. On va le retirer, mais pas par les méthodes habituelles, n'essaie pas de le faire toi-même à la main. Je vais te demander 2 rapports cette fois. ** 1 ** Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection). * Démarrer > Panneau de Configuration * Double clique sur l'icône Comptes d'utilisateurs * Clique ensuite sur Désactiver et valide. Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. ** 2 ** L'UAC doit être encore inactive. * Télécharge maintenant Navilog1 depuis-ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe * Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau. * Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer. * Attends la fin de l'installation. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". * Sur le menu principal, choisis 1. * Suis les instructions et patiente. * Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps). * Appuie sur une touche ainsi que demandé. * Un document du Bloc-notes est créé : fixnavi.txt. * Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. * Referme le Bloc-notes. Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

Et ça va pour WLM ?

Il en reste, on va terminer en 2-3 phases. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Merci. C'est bien un faux positif, et 4 antivirus se trompent sur son compte. J'ai envoyé le fichier avec un petit descriptif à Avira. Généralement ils sont assez rapides sur ces questions.

Dans WLM, du côté des options, onglet Général, décoche les 4 premières cases sur le démarrage automatique. Une des case peut être grisée (et cochée), pour la décocher il faut en cocher une autre dont elle dépend.

D'après le rapport, il est programmé pour démarrer avec windows. Suivant les options de configuration dans WLM, il peut être plus ou moins discret en le faisant. Est-ce que tu veux l'empêcher de démarrer avec windows ?

Je te MP de quoi me l'envoyer. Merci à Sacles pour le lien, ça peut être très très utile ça ; à faire connaître !

Ha, pas glop ça. Ton windows est modifié, cracké, bidouillé, avec un bricopack ?