Falkra

Clean. tuas Kaspersky 7 + la suite AVG (dont l'antivirus ?). Ca fait un de trop là... Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. (notamment Adobe Reader tu as le 7 on est au 9), sinon prends foxit (léger). PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Poste un nouveau rapport HijackThis stp.

Ok, impec. EoRezo est douteux : programmes normaux, mais distribués avec des installateurs modifiés à des fins de collecte statistiques... et ça installe quelques saletés (toujours dans cette optique de collecte de données) Désinstalle Toolbar S&D et Fix navilog via ajout/suppression de programmes. Désinstalle SDFix par ajout/suppression de programmes. Si tu ne le trouves pas, efface ensuite le dossier C:\SDFix à la main. Il faut sécuriser la machine, encore vulnérable, suis bien l'ordre et ne passe à la suite que si ça marche. IE7 doit être installé avant le SP3, si ça pose problème côté IE7 ne mets pas le SP3. Il faut mettre IE à jour, là tu as IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now") Il faudra passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Antivir + Kerio : très bien. Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware. Site officiel : http://www.malwarebytes.org/ Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Essaie la restauration système, ou une réinstallation sans perte, c'est le bazar avec toutes ces manips de SP.

Le rapport est clean et ne montre pas d'infection active.

Super ! Poste un dernier rapport HijackThis, mais a priori c'est ok.

Bonjour, tu as une toolbar pourrie, installée par SpywareTerminator. SpywareTerminator, c'est ok, mais la toolbar de l'installateur, surtout pas. Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance l'installation du programme en exécutant le fichier téléchargé. Double-clique maintenant sur le raccourci de Toolbar-S&D. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

Très bien ! Les clusters vont être marqués inutilisables. Ce qu'il faut, c'est qu'il n'y ait pas de données vitales dedans, et surtout qu'on n'en trouve pas d'autres dans une semaine, ou un mois...

Ce qui suit n'est que pour ta machine, et ta machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Désactive ton antivirus, il peut gêner. Ouvre le bloc notes. Vérifie que dans le menu format, le retour automatique à la ligne est désactivé. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

x64 n'apporte absolument rien de plus, voire moins de compatibilité. Ce n'est pas la même chose d'avoir un système 46bits et un processeur 64bits. Et cracké, c'est la mouise, tu as vu la quantité de saletés que MBAM a viré, déjà ? Combien viennent de sites de cracks, de keygens ou autres ? Un paquet sans doute... Poste un nouveau rapport HijackThis stp.

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche (ferme les navigateurs (fenêtres IE surtout, avant de cliquer sur "fix checked"): Ca va aller mieux. Vérifie côté navigateur, sans oublier les nouveaux onglets.

Je ne comprends rien avec tes liens. (oups) Là, le fichier est à la bonne place. Tu as besoin d'une icône IE sur le bureau ? (qui ne soit pas un raccourci, avec la petite flèche, une vraie icône qui donne accès aux options IE par clic droit, propriétés)

Redémarre, puis poste un nouveau rapport de lib.bat stp.

Très bien. Poste un nouveau rapport HijackThis stp.

Bonsoir, envoie un MP (message privé) à la personne qui a pris en charge ton sujet.

VOilà le problème. Tu as créé dans C:\Program Files\Internet Explorer un raccourci au lieu de copier iexplore.exe dedans. Fais ça par CTRL+C CTRL+V si le fichier est par exemple sur ton bureau. Tu ne dois pas avoir un raccourci dans C:\Program Files\Internet Explorer, mais le fichier lui-même (quand on déplace à la souris, ça créé souvent des raccourcis au lieu de dupliquer, utiliser copier coller)

Vista ultimate x64, pas pour dire, mais ça sent le cracké (juste un peu de mauvais esprit bien sûr). Et surtout, pourquoi 64bits ? Côté programmes, c'est pas la joie. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le.

Hostsman est très bien. S'il te convient, c'est parfait. Tes listes aussi. Attention à ne pas tomber dans l'excès inverse et d'empiler 500 protections (qui finiront par ralentir la machine), je parle là surtout pour les logiciels. Pour le fichiers hosts, ça va.

Rien, ici c'est normal, idem pou svchost.exe pas de souci particulier pour le moment. Que penser des cracks et des Keygens infectés ? Aucune protection ne peut te protéger de ton utilisation de la machine. Tu fais entrer les virus toi-même sur la bécane en utilisant ces saletés. Pas étonnant que la machine soit infectée... Une petite vidéo plus explicative que de longs discours : Cracks, Keygens, ... es-tu sûr de ton choix ?

Ok, c'est parti. Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide.

Bonsoir, envoie un MP (message privé) à la personne qui a pris en charge ton sujet.

Ca m'a tout l'air d'un disque dur en panne.

C'est pour cette raison que MBAM n'utilise pas qu'une base de données, mais aussi un module générique/heuristique fin ; de là ses excellents résultats, tout en restant tout public. Le HIPS, plus compliqué à paramétrer pour l'utilisateur lambda, reste toutefois comme le dit Horus_Agressor, une solution parmi les meilleurs d'un point de vue strictement technique. Du point de vue de l'accessibilité, c'est autre chose.

(pour ceux qui ne connaissent pas le principe de la liste blanche, autres, vous savez déjà ce qui est en dessous) Beaucoup de codes malicieux existent en Javascript, ou un code javascript est souvent un maillon de la séquence d'une infection, mais l'interdire purement et simplement vous priverait de ses bienfaits, car Javascript est très utilisé par les forums, et de nombreux sites sains, de façon tout à fait légitime. Ce que propose NoScript est d'interdire globalement Javascript sous firefox sauf pour les domaines a, b, c, etc. c'est à dire de créer une liste blanche des domaines autorisés, et d'interdire tous les autres. Ainsi, le jour où vous tombez par erreur ou redirection sur une page piégée utilisant Javascript pour ses méfaits, même si vous ne la connaissez pas, vous serez protégé, car Javascript n'aura pas été autorisé pour le domaine en question. Le principe de la liste blanche vous protège des agressions inconnues : on n'autorise que ce dont on est sûr. Une approche souvent plus efficace que les listes noires qu'il faut constamment alimenter...