Falkra

Heu... Toolbar S&D option 1 (voir mon post précédent) ? Stop, ça passe ça passe, mais ce n'est pas le bon rapport (doublons supprimés).

Ok, n'oublie pas Navilog1 option 2 et son rapport. Ca va aller mieux.

Spybot ? Franchement, bof. Spybot est en retard (ad-aware aussi), si tu utilises MBAM, plus avancé technologiquement, tu peux te passer de spybot. Si tu le désinstalles, assure toi qu'il n'y a plus de vaccination en place.

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Supprime OtMoveIt à la main. Ensuite efface le dossier C:\_OTMoveIt Je pense que la lenteur n'est plus infectieuse. On va faire un nettoyage généraliste côté malwares (et tu pourras garder le programme s'il te convient). Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Le plus gros est délogé ! Passons aux petits. Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance l'installation du programme en exécutant le fichier téléchargé. Double-clique maintenant sur le raccourci de Toolbar-S&D. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Au menu principal, choisis 2 et valide. Le programme va t'informer qu'il va alors redémarrer ton PC. Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts. Appuie sur une touche comme demandé. Le pc va redémarrer. Au redémarrage de ton PC, choisis ta session habituelle. Attends le message : Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver. Referme le Bloc-notes. Ton bureau va réapparaitre PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer.exe et valide. Cela fera revenir ton bureau. Note: Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\ Ajoute après ça un nouveau rapport HijackThis stp. (2 rapports en tout donc)

Ce snt deux opérations différentes. Quand on fait fix checked (opération 1) oui ça vide la liste, ça c'est normal. Pour la partie base de registre (opération 2), il te suffit de recopier le contenu dans le fichier que tu crées. Il y aura donc tout ce qu'il faut.

Re. Utilise Fix Navilog1 comme mentionné au post 2 stp, ensuite on va en nettoyer une partie.

Remarque avec autant de cracks, c'est pas étonnant que ça soit infecté. On nettoie les infections. ** 1 ** Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Au menu principal, choisis 2 et valide. Le programme va t'informer qu'il va alors redémarrer ton PC. Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts. Appuie sur une touche comme demandé. Le pc va redémarrer. Au redémarrage de ton PC, choisis ta session habituelle. Attends le message : Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver. Referme le Bloc-notes. Ton bureau va réapparaitre PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" Tape explorer.exe et valide. Cela fera revenir ton bureau. Note: Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\ ** 2 ** Relance Lop S&D Choisis cette fois ci l'Option 2 (Suppression) Ne ferme pas la fenêtre lors de la suppression ! Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide) ** 3 ** Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

C'est bon. Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Est-ce que tu constates encore des symptômes infectieux ?

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.google.fr" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre. Ferme les fenêtres d'Internet Explorer. Double clique dessus et confirme pour l'ajouter au registre.

Dis moi de quel processus il s'agit, sinon je ne peux pas te dire grand chose, le processus de quoi ?

Vérifie l'existence du fichier : c:\windows\notepad.exe Télécharge OTMoveIt2 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Program Files\Key Generator Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt2 Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Bonjou_r, ton rapport n'est pas complet, et tu as ouvert plein de sujets. On va rester sur celui là, les doublons sont fermés. Problème avec le forum ? Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

Parfait. Redémarre, puis poste un nouveau rapport HijackThis.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages La machine est très infectée. Je vais te demander pour démarrer 2 rapports de diagnostic. ** 1 ** Clique sur ce lien de navilog1 de IL-MAFIOSO : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Enregistre le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valide. (ne fais pas le choix 2,3 ou 4 sans accord) Cela dure un moment, attends le message : Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir. Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note. Note : Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt) Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers. ** 2 ** Désactive tes protections résidentes (Antivirus, ...) tu les réactivera après le scan Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Séléctionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Ouvre le gestionnaire de tâches (CTRL+ALT+SUPPR), puis va dans l'onglet "processus". Dans la liste, clique sur azudafqz.exe pour sélectionner sa ligne, puis clique sur le bouton "terminer le processus" en bas à gauche. Confirme quand demandé. Utilise OtMoveIT avec ceci comme contenu (plus court que notre paquet précédent) Et poste le rapport OtMoveIT stp. On y est presque !

Excellent. Si tu as fait la première partie avec le fichier reg, tu peux poster un nouveau rapport HijackThis.

Cool. Je te MP la procédure.

Dis moi quel est le processus concerné, sinon je pourrais te dire des bêtises. Si c'est toolbar S&D, oui tu peux l'arrêter, il devrait déjà l'être.

Le script ne passe pas, fausse manip ou autre problème. ** 1 ** Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{60B244BE-559D-4269-B96E-CD264D828EC9}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "chkstr"=- "ApiUiProc"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ErreurChasseur"=- "PC-Antispy"=- [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "M1bEYxMmAk"=- Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. ** 2 ** Télécharge OTMoveIt2 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\system32\fglyrwha.exe C:\WINDOWS\system32\msxml71.dll C:\WINDOWS\system32\gxelmron.exe C:\Documents and Settings\Formation\Application Data\PC-Antispy C:\Program Files\SecureExpertCleaner C:\Program Files\PC Clean Pro C:\Program Files\PC-Antispy C:\Documents and Settings\All Users\Application Data\dubmlabe C:\Program Files\SAV C:\Documents and Settings\All Users\Application Data\erreurchasseur C:\Program Files\Fichiers communs\ErreurChasseur C:\Program Files\ErreurChasseur C:\Documents and Settings\All Users\Application Data\SalesMon C:\Program Files\BitTorrent Fastest Tool EmptyTemp Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt2 Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Si on a le rapport, c'est que c'est fait, là. Fais ce qui suit sur tous les comptes utilisateurs concernés. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.google.fr" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre. Ferme les fenêtres d'Internet Explorer. Double clique dessus et confirme pour l'ajouter au registre. Et dis moi si ça règle le problème. NB : ta page d'accueil va être modifié pour mettre google.fr (tu peux bien sûr changer ça après coup)

Ton rapport est ok. Est-ce que de ton côté tous les symptômes d'infection ont disparu ? (reste à sécuriser tout ça, car la machine est vulnérable)

A part ce truc suspect, ton rapport est ok. Pas besoin de rapport pour Gmer, s'il a dit ça, rien à copier coller. Pour le copier coller du fichier KFA24B.EXE, je demande pour voir si tu arrives à en faire un doublon. Ca, ça marche ? (si oui, je t'indique comment me l'envoyer)