Falkra

Bonjour, Tu sais il t'en manque si vraiment tu veux les enchaîner tous. La logique derrière ça est exactement la même que celle qui fait cliquer "pour voir" sur un fichier infecté. On essaie, pour voir.Dangereux ! MBAM, outil tout public, t'aurait aussi bien fait le boulot. ComboFix n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Si tu veux que l'on t'aide, il nous faut : - ne pas se fier au hasard ou à des recherches google - (lol) oublier Spybot, ce n'est pas une référence, maintenant. - un rapport HijackThis 2.0.2 complet

Bonjour, MBAM va beaucoup plus loin que d'autres en terme de détection, grâce à un croisement d'heuristique et de détectin générique (le fameux "octet par octet" du slogan). Il peut - comme n'importe quel autre outil sophistiqué - produire des faux positifs. Si c'est le cas, je peux les tester pour toi et les faire remonter aux équipes directement (avec les infos qui vont bien, "monter le dossier" quoi). Pour ça, si ça t'intéresse, il te suffit d'aller dans la quarantaine de MBAM et restaurer ce qui correspond aux 2 fichiers (pas les clés de registre hein). Une fois fait, tu fais un zip avec tes fichiers (il faudra aller les rechercher dans leurs dossiers d'origine) et je te MP un moyen pour me les transmettre. Si la manip te casse les pieds je peux aussi te faire me psoter la quarantaine complète de MBAM (encore plus simple). Si tu préfères faire autrement, tu peux aussi les passer sur VirusTotal, mais les résultats sont incertains sur le batch.

Tu n 'as pas mis ComboFix sur le bureau comme demandé... Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection. Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation et enregistre ce fichier sur le bureau. Ne modifie pas le nom du fichier surtout! Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Édition familiale SP2 Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture > [/url] Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft. Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport. Note > à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.

Ha 2h quand même ça a pris. Redémarre, et poste un nouveau rapport HijackThis stp. On va voir s'il en reste et sécuriser ta machine. ...grâce à MBAM aussi hein. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

Il m'ne trouve aussi dans le genre. Je vais faire remonter ça à Coolman. Pas sûr qu'il faille changer quoi que ce soit. Ceci est le réglage par défaut (sans risque donc pour ta machine).

Tu peux supprimer RSIT (à la main). C'est bon, si combofix s'est désinstallé avec combofix /u, c'est réglé aussi (ou... 333 /u).

Bonsoir, d'autres avis peuvent être consultés ici en complément : http://forum.zebulon.fr/eradication-totale...e6-t151175.html

Utilise ceci (même topo avec le notepad pour faire ton fichier reg). Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\net-nucleus.com] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mirarsearch.com] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\getmirar.com] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contentmatch.net] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\net-nucleus.com] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mirarsearch.com] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contentmatch.net] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\getmirar.com] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\net-nucleus.com] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\mirarsearch.com] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\contentmatch.net] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\getmirar.com]

Télécharger et installe regscanner. Lance-le depuis le raccourci du menu démarrer ou du bureau. Ca ouvre une fenêtre "Registry scan options". Dans "Find string" entre "net-nucleus.com" sans les guillemets. En bas à droite dans "Scan the following base keys" sélectionne-les toutes, tout doit être grisé. Clique sur ok. Ca cherche. Une fois la recherche finie, fais CTRL+A pour tout sélectionner, puis CTRL+S pour sauvegarder. Sauvegarde un fichier texte sur ton bureau, avec le nom de ton choix. Poste le contenu de ce fichier texte dans ta prochaine réponse stp. Et moi je te fais un nouveau .reg.

Ok, tu es sûr d'avoir utilisé le Bloc notes ? (notepad), on dirati que tu as utilisé word ou wordpad). Pour lancer le bloc notes, menu démarrer, exécuter, notepad Fais ton fichier reg avec ça.

La première ligne du fichier est bien "Windows Registry Editor Version 5.00" ? (clic droit, "modifier" pour voir dedans). Pas de ligne vide au début ?

Ok, alors fais juste sauter la ligne O4 comme indiqué. Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. ton antivirus n'est pas génial, mais si tu as spécifiquement payé pour l'installer, conserve-le. Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Tu as été victime d'un faux logiciel, consulte ce site en cas de doute pour éviter les plus actifs : http://bharath-m-narayan.blogspot.com/ Ne retombe pas dans le même panneau. Certains s'installent avec ton accord (facile à éviter), d'autres profitent de failles et s'installent seuls, sans te demander ton avis. Donc il faut que ton système soit bien à jour. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Hé bé ça doit aller mieux, je pense. Tu dois pouvoir remettre ton fond d'écran perso, logiquement. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Désinstalle Precision taime (si présent) via Ajout/suppression de programmes. Amprès cela, efface le dossier en gras : C:\Program Files\PrecisionTime

Ok, bien ça (quelques petites réparations). Ca veut dire que ce ne sont que de vieux restes, ce que tu as. On peut les virer. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\mirarsearch.com] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com\awbeta] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\getmirar.com] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\internet settings\zonemap\domains\contentmatch.net] [-HKEY_LOCAL_MACHINE\software\search settings] [-HKEY_CURRENT_USER\software\search settings] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Ensuite contrôle avec ZHPdiag tes O71.

De rien, bonne lecture (ça fait un opeu gros, j'avoue), et n'hésite pas, même si c'est écrit résolu, à poser des questions, si tu as des difficultés ou autre chose. Très bonne soirée !

Bonsoir, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Il s'agit d'un faux logiciel, infectieux. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. ---------- Après cela, poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Ok, au réveil ou d'ici quelques minutes (souvent dans les 30 minutes en tout MBAM, après suivant le remplissage et les bestioles ça prend plus ou moins de temps), n'oublie pas, surtout, de les faire supprimer.

Pas de souci ici. Tu peux désinstaller toolbar S&D via ajout/suppression de programmes. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Ca m'en a tout l'air. ------------------------ Protections logicielles ------------------------ Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Je ne vois pas d'antivirus, pas étonnant que la machine soit infectée et vulnérable. Je te conseille Antivir (Avast est à éviter), réactif et efficace. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. -------------------------------- Ce qui a infecté ta machine -------------------------------- EoRezo est douteux : programmes normaux, mais distribués avec des installateurs modifiés à des fins de collecte statistiques... et ça installe quelques saletés (toujours dans cette optique de collecte de données). Ne passe plus par leurs sites. Tu as été victime de nombreux faux logiciels, consulte ce site en cas de doute pour éviter les plus actifs : http://bharath-m-narayan.blogspot.com/ Ne retombe pas dans le même panneau. Si tu as des doutes sur un programme, consulte aussi la crapthèque d'assiste. ou bien cette liste (en anglais) sur Spyware warrior. -------------------------------- Mises à jour et protections. -------------------------------- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. ---------------- Compléments ---------------- Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable). Certains s'installent avec ton accord (facile à éviter), d'autres profitent de failles et s'installent seuls, sans te demander ton avis. Donc il faut que ton système soit bien à jour.

Encore 2-3 outils et ça ira. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Hé bé, ça fait des saletés en moins lol. Poste un nouveau rapport HijackThis stp.

Impec. Mais il y a encore plein de choses à virer. Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. Poste ce rapport là stp.

C'est normal, hijackthis ne va pas dans ces coins là ; de toute façon, ces lignes ressemblent plus à des résidus qu'à autre chose. Ton rapport est clean (rien de méchant actif). On va quand même faire les vérifs nécessaires pour virer les résidus éventuels. Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance l'installation du programme en exécutant le fichier téléchargé. Double-clique maintenant sur le raccourci de Toolbar-S&D. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Si tu ne veux pas réinfecter la machine dans 2 jours, il faudra faire une croix là dessus. C'est fini, le bon vieux crack, c'est bourré de malwares tout ça maintenant, c'est piégé, les robins des bois du net ça n'existe pas, sites douteux, piégés et compagnie. Une vidéo plus parlante que des discours Cracks, Keygens, ... es-tu sûr de ton choix ? Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Lol, pas d'enroulage. Supprime smitFraudFix à la main. Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Il faut mettre IE à jour, là tu as IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now") Je ne vois pas d'antivirus ? Il faut un antivirus (et ne me dis pas que ça ralentit, on ne parle pas de Norton là). Il faut éviter Avast, qui est devenu une passoire. Antivir est tout aussi gratuit (bientôt disponible en français) et surtout bien plus efficace. Pour Antivir voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Tuto : http://www.libellules.ch/tuto_antivir.php Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware. Site officiel : http://www.malwarebytes.org/ C'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande, et n'encombre pas la mémoire. Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php N'installe pas les toolbars proposées par l'installateur, décoche : Pendant l'installation refuse de donner ton mail et ne prends pas l'option antimalwares, ce n'est pas nécessaire. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer. Il y a une suite, je te prépare ça quand tu auras fait ces manips.