Falkra

Les malwares ne comprennent que l'agressivité. Il était assez planqué. Ca doit être bon là. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F277B357-CF8F-0B76-A44E-BA96F46162F6}] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Un petit machin résiduel à vérifier, je ne me fais aps trop de doutes, mais on vérifie quand même. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\virus2.com Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Muy bien, era uno de los gordos, pero parece que MBAM lo ha pescado enterito, y ahora está frito. Ese era uno de los malos : tdsserv, rootkit y todo. En caso, vamos a hacer alguna cosa más (sin rsit), pero lo importante ya está eliminado. Descarga combofix.exe de sUBs en el escritorio (ojo : no ponerlo en alguna otra parte). Cierra los programas abiertos. Ejecuta combofix.exe. Acepta el disclaimer. es posible que el cortafuegos pida permiso para nircmd.cfexe : acepta. No cierres la ventana que se va a abrir (fondo azul), podrías quedarte sin escritorio. Cuando termine el análisis (combofix puede reiniciar el pc, automaticamente), aparecerá un reporte. Pega el reporte en tu próximo mensaje. Si los pierdes, está en : C:\Combofix.txt (por si acaso).

Méthode plus agressive. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Tu as placé le .bat dans le même dossier que Gmer ?

Si tienes el reporte ( o los dos) que mencionan que ficheros estaban infectados, me interesaría leerlos. Tal vez queden algunas cositas que quitar. Podría ser la cola de un poez más gordo, jeje. Luego hablamos de protecciones, claro.

Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : gmer del file "C:\WINDOWS:rtrcntrl.exe" Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le dans le même dossier que Gmer (sur ton bureau je pense) et double clique dessus. On utilisera du plus costaud si besoin.

Ben justement, c'est à faire sous supervision, et pas dans tous les cas. tu avasi la dernière version ? Tu l'avais renommé ? Mis sur le bureau ? Etc... Il ne faut pas arrêter combofix pendant qu'il travaille (voir instructions).

Je pense oui. En tout cas l'autre ne devrait pas revenir, et il revient. :arrow: Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Files et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "routercontrol"=- "virus"=- Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre. Refais un lib.bat avec le nouveau code stp, là ça n'affiche pas le bon dossier. On progresse.

Pas du tout, oublie spybot. Refais le fichier, j'ai ajouté une ligne de plus. Qu'est-ce que spybot vient mettre son grain de sel ?

Bonjour, et bienvenue. Il y a une infection, attrapée sans doute en installant un "sponsor". Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Télécharge Lop S&D < ici Double-clique sur Lop S&D.exe présent sur ton bureau Séléctionne la langue souhaitée, puis choisis l'Option 1 (Recherche) Patiente jusqu'à la fin du scan Poste le rapport généré (C:\lopR.txt) (Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Il y a du nouveau. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : @echo off echo. echo -=Liste de fichiers=- echo. c: cd \ dir > c:\liste1.txt notepad c:\liste1.txt del c:\liste1.txt Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher. Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit : @echo off echo. echo -=Extractions de la BdR=- echo. set cle=HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run echo %cle% regedit /E c:\reggM1.txt "%cle%" echo ------------->>c:\reggM1.txt set cle=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run echo %cle% regedit /E c:\reggM2.txt "%cle%" echo ------------->>c:\reggM2.txt copy c:\reggM?.txt c:\regfile.txt>nul del c:\reggM?.txt notepad c:\regfile.txt del c:\regfile.txt Sauvegarde cela sur le bureau en donnant comme nom lib.bat (pas d'extension texte donc). Le fichier va être créé avec une icône d'engrenage, place-le sur le bureau, double clique dessus et poste le rapport qui va s'afficher.

Le rapport ne montre rien d'inquiétant. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Bueno, éste, lo dejamos, de momento. Descarga Malwarebytes' Anti-Malware (MBAM) (otro link, oficial : http://www.download.com/Malwarebytes-Anti-...-10804572.html) Ejecútalo para instalar el programa. Luego se pone en marcha. En "Actualizar", dale al botón "Buscar actualizaciones": si el cortafuegos pide autorización, acepta. Una vez actualizado, abre la parte "Escáner". Selecciona "Realizar un examen rápido" Pincha en "Examinar" A continuación, empieza el análisis ; puede tardar un poquito, es lo normal. cuando termine el análisis, aparece un mensaje que dice que se acabó. Si ha detectado cosas, pincha en el botón abajo a la derecha para mostrar los resultados. Selecciona todo y dale al boton para borrar la selección, MBAM va a borrar los archivos y las demás cosas, y ponerlas en cuarentena. MBAM abrirá un reparte, podrás pegarlo aquí. NB : Si MBAM te pide reiniciar el pc (a veces, según lo que descubre, hay que hacerlo), hazlo.

Ok, poste un nouveau rapport hijackThis stp.

Tu peux retrouver ta barre via clic droit propriétés sur le bureau (les options d'affichage) onglet themes. S'il manque des onglets on les restaurera. Pour le son, ce n'est pas lié aux infections en tout cas. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement.

IE il faut le garder, c'est la bestiole qui l'utilisait qu'il faut virer. Si Antivir trouve des bestioles, mets en quarantaine, ce sont sans doute des restes d'infection. Je te recommande un scan complet avec Antivir. Mets-le à jour d'abord (clic droit, start update sur l'icône près de l'horloge). Une fois à jour, double-clique sur son icône près de l'horloge, cela ouvre l'interface principale, puis clique sur "Scan system now" à droite de "Last complete system scan". /!\ Cela peut être long. Tu peux sauvegarder le rapport en fin de parcours (bouton "Report"). Si Antivir détecte des fichiers infectés, mets en quarantaine (choisis "Move to quarantine" dans la liste des actions. Tu peux automatiser ce type d'action en cochant une case), comme ci dessous : Cela permet de ne pas rester à la surveiller.

Je peux te conseiller Comodo v3, relativement simple à utiliser, et gratuit, un bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php Pour que ça ne pose apas de problèmes, n'installe pas les toolbars proposées par l'installateur, décoche : Et quand il te propose de donner ton mail, d'activer un module antimalware (l'installateur fait ça) tu lui dis non. Tu auras le modèle basique, qui marche bien sans mettre le bazar. Une fois installé, fais clic droit sur son icône près de l'horloge, et dans le menu "Defense +", règle sur "Disabled", si le côté HIPS te dérange, ce n'est pas indispensable de l'activer, et passe Firewall security level sur "Safe mode" là tu dois avoir la paix.

Bonjour, il ne faut pas utiliser combofix au hasard ou sur le résultat d'une recherche google, et sans supervision. Il n'est pas lancé du bon endroit de la machine, il n'est pas forcément nécessaire, et sans supervision il est dangereux. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Antivir a bien fait son boulot, et avec MBAM, ça complète bien. Ton système semble à jour. Il te faudrait juste un firewall, un vrai parce que celui d'XP, il est... plus que léger. Je peux t'en conseiller (un gratuit).

Eso ocurre a veces por problemas de connexiones u otras cosas, que no son forzosamente asuntos de virus. El reporte no indica ninguna infección activa. La barra O3 vuelve porque tienes TeaTimer (de spybot) activo. Si lo apagas (definitivamente, por no ser una protección realmente eficaz), podras borrar la línea. Para desactivar TeaTimer en spybot, loejecutas, luego en le menú Modo, activa el modo avanzado. Luego tienes abajo (en la columna de izquierda) un botón "Herramientas", y allí puedes apagar el TeaTimer. Luego borras la O3 de HijackThis sin problema. Sin embargo, no es ninguna infección esto, solamente un resto de algo, es inofensivo. Sería util tener un reporte de RSIT, por que nos daría algunas informaciones más. Puedes intentar cogerlo aquí. Si no funciona, hacemos otra cosa.

Ce topic a été remanié et montre des marques d'édition. Douds et moi avons conjointement décidé de ne conserver que le contenu informatif lié à la demande du premier post. Ce sujet étant maintenant placé dans la section optimisation, prévention, discussion, n'hésitez pas intervenir sur les questions logicielles évoquées.

Il faut te débarrasser de cracklock... tu peux le désinstaller via ajout/suppression de programmes (l'entrée s'intitule MicroBest Cracklock). Le rapport ne montre aucun autre élément indésirable. Est-ce que tu vois encore des symptômes d'infection, de ton côté ?

Ok, on verra si Avast a laissé des restes (rare).

Bonjour, il y a du monde à virer ! Si jamais tu as besoin de quelques infos : Comment participer à un forum Retrouver ses messages Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).