Falkra

J'ai installé Online Armor sans donner aucune adresse e-mail. Tu n'aurais pas pris le payant par erreur ou un truc du genre ?

Ca, c'est bien. Poste un rapport HijackThis stp. La machine se comporte normalement, maintenant ?

Bon écoute, il faut me croire, ce n'est pas un écran de veille, il y a une extension d'écran de veille pour éviter les programmes qui bloquent les .exe ok ? On s'en fiche sévère que ça ait une extension d'écran de veille, en fait, comme je l'ai déjà dit, et non, le lien va très bien. Fais confiance et suis les instructions, si tu veux qu'on avance, sinon on ferme le sujet et basta, il faut savoir, si c'est pour papoter sans rien faire, on a tous mieux à faire.

Ca peut être long, mais pas une heure hein. Referme proprement le programme si vraiment ça coince, mais il doit répondre au bouton stop.

Si tu crains une infection, ouvre une demande dans la section analyse/désinfection, pour vérification, mais about:blank tout seul ne détermine pas une infection.

Débarrasse toi des cracks, c'est le meilleur moyen d'infecter ta machine à coup sûr... Relance Lop S&D Choisis cette fois ci l'Option 2 (Suppression) Ne ferme pas la fenêtre lors de la suppression ! Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Tu as eu de la chance, tant mieux, là le script est bien passé. Ca m'a l'air mieux. Désactive tes protections résidentes (Antivirus, ...) tu les réactivera après le scan Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Sélectionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Ce n'est pas une histoire de malwares, mais un plantage à cause d'une mise à jour qui ne passe pas. Je pense qu'il serait sage d'ouvrir un sujet en software, puisque pour le coup, on a déjà nettoyé les infections.

Non, c'est un programme de diagnostic, écoute sans rapport on ne peut rien faire de toute façon...

On ne doit pas en être très loin, je vais m'assurer que tout est ok. Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, coche uniquement les options suivantes : Processes, Files, registry, services **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Ha ok, donc là ça tourne bien, tu ne vois plus de bestioles actives ?

Toujours la lui, coche processes, files, registry et services stp et refais un rapport, ce sera un peu plus long.

Et tu as toujours Security Tool ?

Il ne faut pas interrompre combofix. La dernière à l'avoir fait a eu son Windows impossible à démarrer ! Là le script n'est pas passé, rien n'a été fait d'après le rapport, qui doit être l'ancien.

Mets à jour MBAM maintenant, et fais une recherche rapide après cette mise à jour. Poste le rapport obtenu stp.

Garde ZoneAlarm, pas de problème.

On a eu le driver et ce qui régénérait l'infection. Ca a pris du temps, mais là c'est ok. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "sysgif32"=- [-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ayuogkv] :Services AYUOGKV :commands [EmptyTemp] [Start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Pour un micro nettoyage, relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Si tu veux alléger un peu le démarrage, on peut empêcher à certains programmes de démarrer automatiquement. Ca ne les empêchera pas de fonctionner en les lançant manuellement par la suite. Note que ces lignes ne sont pas infectieuses et parfaitement légitimes, il ne s'agit que d'une petite optimisation (qui ne divisera pas par 10 le temps de chargement, loin de là). si ça te tente, relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche : Désinstalle Apple Bonjour via ajout/suppressions de programmes. Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! Télécharge OTC d'Old Timer : http://oldtimer.geekstogo.com/OTC.exe Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux résiduels au cas où. Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Poste un dernier rapport HijackThis stp, en mode normal donc, on fait le point et je te donne ces dernières précautions pour éviter une réinfection et avancer en sécurité.

Micro nettoyage - Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! Télécharge OTC d'Old Timer : http://oldtimer.geekstogo.com/OTC.exe Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux s'il en reste. ------- Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace. Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 ---------- De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure. Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau => http://senduit.com/ac80af Patiente une seconde: le téléchargement va se lancer automatiquement. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Quand CF finit de s'exécuter, il affiche cette boîte de message: Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip). Une fois le scan achevé, le pc va certainement redémarrer: un rapport va s'afficher, poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt Note1: Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc! Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse. Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous => Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier. Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

Supprime les périphériques à problème (procédure normale, pas de souci), il y en a des faux dedans. Les bons se réinstalleront au redémarrage.

Je te conseille d'ouvrir un sujet dans la section réseaux/internet ou software, ton problème ne semble pas lié à une infection.

Bonjour, il n'y a rien d'anormal dans ce rapport, et le problème n'est pas nécessairement viral. Note que l'utilisation de programmes comme Shareaza ou autres, qui uploadent et ouvrent des centaines de connexions, entament sérieusement la bande passante. Des programmes comme TuneUp suffisent à dérégler Windows et les paramètres de connexion aussi, comme les optimiseurs.

La source de la bestiole devrait dégager. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/942095 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt