Falkra

Il t'ouvre le bloc notes, sauf si tu as un bloc notes spécial ça doit te donner le dernier. On va faire autrement, sinon ça va prendre longtemps. Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau. NB : Tu dois être connecté avec des droits d'Administrateur. ferme toutes les applications et fenêtres double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : tu n'auras pas de boîte de dialogue (pas de OK) quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran [*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post [*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) [*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner [*] n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : crée un point de restauration dans Windows XP et Vista nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

HijackThis propose un bouton "backup" pour restaurer. Attention à ne pas restaurer des saletés. Le plus simple aussi est d'aller dans les options du programmes concernés, qui propose toujours de démarrer avec windows en cochant une case : cela réduit notablement les risques.

On passe MBAM (voir un peu plus haut, on a posté en même temps tu as pu ne pas voir le post).

MSConfig voit 10-15% de ce que hijackThis montre.

C'est pour ça qu'il m'en faut un nouveau. Redémarre, on ne sait jamais.

Ok, on voit ça après.

Ok, c'est un symptôme intéressant. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport. Après le redémarrage, poste un nouveau rapport hijackThis stp, qui suivra le rapport de MBAM.

Là tu me repostes un ancien rapport HijackThis. Ce n'est pas bon. Je ne peux pas te dire sans avoir un rapport à jour. On peut utiliser un autre logiciel à la rigueur, mais je ne peux pas t'en dire plus sans des données fraîches.

Il s'agit d'un blocage de sites par liste noire, on essaie d'avoir la liste la plus complete et exhaustive possible. Ce n'est pas inutile, mais cela nécessite des mises à jour continuelles et ne protège pas de ce qui n'est pas encore dans la liste. autant faire un blocage par fichier hosts au lieu d'injecter comme le fait spybot des milliers de lignes dans la base de registre ou les fichiers des navigateurs. http://fr.wikipedia.org/wiki/Hosts (on peut t'en proposer : le fichiers hosts bloque en amont : Spybot vaccine les navigateurs, et procède en aval du fichier hosts, il propose une liste pour le fichier hosts mais elle n'est pas aussi fine que celles de programmes spécialisés dans le domaine). Je préfère et de loin un blocage par liste blanche greffé sur le navigateur. Firefox avec NoScript et CookieSafe en mode liste blanche + un filtre publicitaire (AdblockPlus avec liste EasyList+ListeFR). Une partie de la config proposée par Sacles, à laquelle je souscris. Le principe de la liste blanche est de tout interdire sauf les domaines/sites de ton choix : de cette manière, après une phase de configuratino pour autoriser les sites que tu consultes, cela bloquera des sites inconnus des listes noires en cas de pépin... De manière générale, Spybot et Ad-aware ne sont plus à la hauteur depuis les derniers progrès de la concurrence. Quand au résident TeaTimer, il ne surveille que certains points du système (peu) et ne saurait rivaliser avec une vraie protection temps réel.

Dans ce cas tu peux le désinstaller. Si tu le réinstalles, ne coche pas l'installation du sponsor pendant le setup, sinon : infection.

Impeccable. Par contre cette ligne n'a pas sauté. On va voir ça après. En attendant, je vois Avast + Norton, comme antivirus. Ca en fait un de trop car ils se court-circuitent l'un l'autre et cela consomme énormément de ressources pour rien. Norton, tu l'as acheté, il était préinstallé ou en démo, ou autre ? LEs deux ne sont pas très bon, voire mauvais pour Avast.

Ok, poste un nouveau et dernier rapport HijackThis stp.

Bonjour, Spybot est techniquement dépassé. Je te recommande plutôt MalwareBytes' Anti-malware. Site officiel : http://www.malwarebytes.org/ Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande, et est bien plus efficace.

Poste un nouveau rapport HijackThis, que je vérifie pour ta ligne. Est-ce que tu constates encore des symptômes infectieux sur la machine ?

Après une désinfection, tout le monde veut apprendre, tu sais... il y a un effet de mode. Après, devant les contraintes, les gens se ravisent. Gaffe, ce n'est pas un passe-temps, et ça demande beaucoup d'investissement, de temps, etc.

Tu fais bien les choses : copie-colle dans ta prochaine réponse le contenu du rapport qui s'affiche dans le Bloc-notes quand tu cliques sur "Do a system scan and save a log file".

Il était dans ton dernier rapport. Pas grave, poste un nouveau rapport et on voit ça.

Celui que je lis est daté de 13h49 et présente encore des signes d'une infection qui a déjà été retirée.

Relance HijackThis, coche ces lignes et clique sur le bouton Fix checked, en bas à gauche :

Poste un nouveau rapport HijackThis stp, celui là est un ancien.

Oui, poste le rapport de SDFix stp, suivi d'un nouveau rapport HijackThis.

Très bien ça. Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection. A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Puis poste un nouveau rapport HijackThis stp.

Ce n'est pas grave du tout. Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé. Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur". * Sur le menu principal, choisis 2. * Suis les instructions et patiente. * L'outil va t'informer qu'il redémarrera ton ordinateur. * Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres. * Appuie sur une touche ainsi que demandé. * Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement. * Choisis ta session habituelle si nécessaire. * Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps). * Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver. * Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse. * Referme le Bloc-notes. * Ton Bureau va réapparaître. Réactive le contrôle des comptes utilisateurs (UAC-User Account Control). Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

On a déjà fait tout ou presque. Efface smitfraudfix à la main si pas déjà fait. Idem, si pas déjà fait, tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox XP SP3, IE7 : bien. Antivir + comodo : bien. Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware. Site officiel : http://www.malwarebytes.org/ Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. A-squared : bof, tu peux t'en passer avec ce que tu as + MBAM, et il n'est pas parmi les meilleurs. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. La machine est équipée, ne te fais pas avoir une autre fois. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Re. Il y a un ordre bien précis pour faire les choses, mais ne t'inquiète pas on ne le laissera pas sur ta machine ! :P