Falkra

Continuer à creuser la question. Visiblement il reste des cochonneries. Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Le fichier est clean sur VT : https://www.virustotal.com/analisis/aa3711e...c315-1267698347 Mais n'a pas l'air clean, d'aspect et d'emplacement, a priori ce n'est pas un faux positif, en soi. C'est après avoir installé ça ? setup-adsltv.exe et setup_TV_Orange_0.94.exe (plugin) Et ces programmes fonctionnent ?

Tu peux poster le rar ici (règle sur 1 jour) : http://www.senduit.com/ Et passe moi par MP le lien pour que j'aille voir.

Les infections aiment utiliser ta connexion internet, donc n'ont intérêt à te la couper. Tu m'as passé les fichiers infectés, je les ai remontés à MBAM, et là ce sont les nouvelles détections dont tu bénéficies, et qui trouvent tout ça (ou presque tout) grâce à tes échantillons, ils ont fait vite ! Ca n'a pas été inutile, tout le monde est gagnant, et comme tu as fait un scan complet c'est remonté à la source, fichiers piégés téléchargés sur une page web selon toute vraisemblance, par IE. Il y a eu une bonne dizaine de mises à jour de MBAM depuis, donc si tu veux refaire un scan, fais-le pas de souci, mais après un redémarrage, sinon ton dernier rapport HijackThis est ok, il faut par contre qu'on sécurise ta machine.

Bonjour Nanotek, Je peux vérifier ces fichiers si tu veux, mais pour ça, ne supprime rien de la quarantaine. Voici comment faire : Va dans : C:\Documents and Settings\< ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware < ton comtpe > c'est le nom de ton compte utilisateur, celui que tu utilises habituellement. Zippe (enfin RAR) le dossier Quarantaine et dis moi combien il pèse pour me l'envoyer.

Ok. Poste un nouveau rapport RSIT stp, en mode sans échec donc (il ne fera qu'un rapport, c'est normal).

Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/f59f6c Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Le centre de sécurité est paramétré pour ne pas s'occuper de l'antivirus et du firewall, c'est pour ça qu'il ne reconnaît rien. Voici un fichier .reg pour corriger ça (télécharge et double clique dessus pour l'ajouter au registre) : http://senduit.com/927ded

Je surveille le sujet, donc si tu ajoutes une réponse, je le vois dès que je me connecte, donc n'hésite pas à poster ici, pour la suite.

Le lien c'est ça maintenant (je corrige mon papier) : http://www.avast.com/fr-fr/uninstall-utility Tu l'as téléchargé depuis un site non-officiel, méfie toi, un jour le setup sera modifié et embarquera une bestiole, c'est ce que fait EoRezo, et c'est comme ça qu'on infecte une machine (entre autres moyens). Ca c'est le BIOS qui affiche ça, c'est à paramétrer côté matériel. On dirait des pilotes de bus AGP sur carte mère pour processeur AMD ou autre, ça a toujours été coton ça. Pour les pilotes, vois là si tu peux en avoir de nouveaux : http://www.touslesdrivers.com/index.php?v_page=29 Supprime le dossier spybot dans program files, si toutes les désinstallations ont été faites, ce sont peut-être des restes oubliés, d'après ce que tu me dis.

Une fois le changement fait, je te conseille Antivir comme antivirus, voici un lien de téléchargement direct (version en français) mais ce n'est à installer qu'après avoir désinstallé un autre antivirus, il n'en faut qu'un présent sur la machine à la fois : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php Du coup après, un "vrai" pare-feu est une nécessité, pour remplacer celui de Securitoo/F-Secure, je te conseille par exemple Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace. Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 Ces logiciels sont gratuits et en français, Antivir affichera simplement une pub (non intrusive et facile à fermer) lors de quelques mises à jour. ------------ Tu devras aussi passer à Vista SP2, puis passer par windows updates régulièrement pour maintenir ton OS à jour. De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Ok, poste un rapport HijackThis stp, je l'espère le dernier. Si tu ne l'as pas, clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Si tu veux tester, il suffit de suivre les infos de mon post précédent, si c'est unj réglage ça se verra tout de suite et ça se corrigera très vite.

Télécharge OTC d'Old Timer : http://oldtimer.geekstogo.com/OTC.exe Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux s'il en reste. Quelques conseils de prévention, pour éviter de retrouver une infection dans quelques jours. De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

J'ai le fichier, j'envoie. Merci beaucoup. Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! Supprime rkill à la main. Passe à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf : http://www.microsoft.com/windows/internet-...er/default.aspx Je te prépare la suite.

Télécharge ce fichier bat, et démarre-le par clic droit exécuter en tant qu'administrateur, et poste le rapport stp : http://senduit.com/756a2f Ca ne fera que lire les paramètres sans les modifier : aucun risque hein.

Oui, mais c'est le contenu qui indique au centre de sécurité d'ignorer ceci ou cela. Un petit export permettrait éventuellement de vérifier.

Sans doute une clé dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] qui marque d'ignorer. Je dois avoir un .reg tout prêt pour remettre le réglage par défaut, si ça vous tente.

C'est le centre de sécurité, qui en connaît en fait peu, garde Windows bien à jour (pour l'aider), et au besoin dis au centre de sécurité que tu t'occupes de ça et que tu as un antivirus.

J'ai ton fichier, merci pour ta contribution, qui fera avancer les détections ! Redémarre la machine, et poste un rapport HijackThis stp, dis-moi aussi si ça tourne normalement, après ce redémarrage.

Super ! Peux-tu uploader (envoyer) le ZIP qui se trouve dans C:\_OTM\MovedFiles\ sur ce site http://www.senduit.com/ (en réglant à un jour/1day) stp ? Récupérer ces échantillons de fichiers infectés me permettra de les transmettre aux éditeurs (comme MBAM mais aussi les éditeurs d'antivirus) et améliorer les détections. Senduit te proposera un lien, transmets-moi ce lien par messagerie privée stp.

Et en mode sans échec, ça démarre ?

C'est mieux, mais il en reste apparemment. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Google Toolbar\gtb1.tmp.exe C:\WINDOWS\updated7.exe C:\WINDOWS\system32\lsassd.exe C:\WINDOWS\system32\svvchost.exe C:\WINDOWS\scvchost.exe :reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "deports"=- "svvchost.exe"=- "Microsoft Driver Setup"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Microsoft Driver Setup"=- :commands [zipfiles] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Le fichier semble sain, et fonctionne sans doute avec Privoxy. Il n'est pas bien référencé sur les bases de données, peux-tu me l'envoyer ? Ca me permettra de le faire enregistrer, c'est ce fichier : C:\windows\system32\policylsp.dll Pour me l'envoyer tu peux l'héberger sur http://www.senduit.com/ (règle sur 1 jour) et me donner le lien que senduit va afficher par messagerie privée.

Internet fonctionne bien ?