Falkra

Est-ce que l'icône de parapluie près de l'horloge continue de disparaître ?

Ok, je te MP (message privé) la procédure d'envoi.

Tu auras sans doute besoin d'afficher temporairement les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Parfait. Va dans : C:\Documents and Settings\< ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware < ton comtpe > c'est le nom de ton compte utilisateur, celui que tu utilises habituellement. Zippe (enfin RAR) le dossier Quarantaine et dis moi combien il pèse.

Retourne dans la config des services, et désactive le démarrage automatique de ces services (mets sur désactivé) : Service de découvertes SSDP Hôte de périphérique universel Plug-and-Play AntiVir PersonalEdition Guard doit être en type de démarrage : "automatique" (à vérifier). Redémarre après les changements.

Rien de bien anormal, c'est curieux. Même le Bloc-notes te fait ça de temps en temps ? Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous : Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"=- [-HKEY_CLASSES_ROOT\CLSID\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}] Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc). Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre.

Le rapport est clean. J'aimerais récupérer la quarantaine de MBAM pour avoir les fichiers infectés. Voilà comment faire, va dans : C:\Documents and Settings\< ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware < ton comtpe > c'est le nom de ton compte utilisateur, celui que tu utilises habituellement. Zippe (enfin RAR) le dossier Quarantine et dis moi combien il pèse une fois zippé/rar.

Le rapport est presque propre, mais ce qui est en face a déjà été supprimé. Là on va juste éliminer les restes. Relance HijackThis, coche cette ligne et clique sur le bouton Fix checked, en bas à gauche : La machine ne doit plus avoir de symptômes infectieux, tu confirmes ? Tu peux remettre ton fond d'écran s'il a été maltraité ces derniers temps. Tu sais faire des ZIP/RAR ? (je demande pour la suite)

Belle récolte. Oui, redémarre, puis poste un nouveau rapport HijackThis stp (il reste souvent des petites choses), mais l'essentiel est fait. Je regarde ça après manger. Ne vide pas la quarantaine de MBAM et ne le désinstalle pas (pour les fichiers infectés, qui ne peuvent pas sortir de MBAM seuls, soit dit en passant).

Belle récolte. Redémarre, puis poste un nouveau rapport HijackThis stp (il reste souvent des petites choses), mais l'essentiel est fait. Je regarde ça après manger. Ne vide pas la quarantaine de MBAM et ne le désinstalle pas (pour les fichiers infectés, qui ne peuvent pas sortir de MBAM seuls, soit dit en passant).

Ok, on fera ça autrement en fin de parcours, pas grave. Je te ferai signe pour le faire de façon simple et rapide. Nettoyons ! Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

C'est la messagerie privée. clique en haut à droite sur le lien "1 message(s)" pour lire. Ou sur ce lien : http://forum.zebulon.fr/index.php?act=Msg&CODE=01

C'est bien ça. Je te demanderai en fin de parcours de m'envoyer un fichier infecté pour analyse. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Ok, fais un rar de ce fichier stp. Je te MP la procédure pour me l'envoyer rapidement.

On va le virer. Juste avant qu'on commence, sais-tu faire un zip ? J'aurais besoin de récupérer ce fichier : C:\Windows\system32\lphc1hrj0egcv.exe

On continue le boulot. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe *** Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (cela donne C:\SDfix). :!: Imprime ou note ce qui suit, tu n'auras pas accès à internet. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur. Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde suffit). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Suis la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. Appuie sur Y pour commencer le nettoyage. SDFix va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! Si SDfix ne se lance pas (ça arrive!) * Démarrer->Exécuter * Copie/colle ceci: * Clique sur ok, et valide. * Redémarre et essaye de nouveau de lancer SDfix.

Ici non, ce sont des blocages contre ces sites, pour empêcher de s'y connecter, mis en place par un logiciel de sécurité. SmitFraudFix a bien bossé. Poste un nouveau rapport HijackThis.

Certes. Merci. D'ailleurs ces outilsont été utilisés (sauf VundoFix qui est à la traîne depuis un moment d'ailleurs). Je rappelle pour les lecteurs non pratiquants en matière de désinfection que chaque procédure est pour une machine. Si vous avez la même infection, ou des symptômes qui ressemblent beaucoup à ce que vous lisez ici ou ailleurs, ne fais pas la même chose à la maison, ça peut : - ne rien donner - être dangereux pour votre OS - planter windows Et dans tous les cas, cela rend votre désinfection plus difficile car des éléments infectieux auront déjà disparu, mais pas forcément tous, et éliminer les restes n'est pas toujours facile, et fait bipper soudainement les antivirus. Lorsque vous essayez de reproduire une procédure pour une autre machine, si vous avez une infection de plus (ou de moins), ou des programmes, une version de windows, des réglages de windows différents, au mieux ça ne marchera pas, au pire vous plantez votre machine suivant l'outil utilisé. Dans certaines infections il ne faut surtout pas redémarrer en mode sans échec, par exemple, mais ce ne sera écrit nulle part. Etc. MBAM est un outil tout public et fiable : utiliser tout seul MBAM à la maison : oui ! Les outils spéciaux tels que VundoFix, SmitFraudFix, FixNavilog et autres SDFix ne sont pas à utiliser en aveugle. Surtout pas. Ce n'est pas de l'élitisme low-cost ou de la restriction pour le plaisir, ces outils peuvent relever des fichiers légitimes, et du coup les faire supprimer, c'est pour ça qu'on analyse les rapports (parmi d'autres raisons). Dans tous les cas : - N'utilisez jamais ComboFix ou Avenger sans qu'il soit prescrit par un membre qualifié et formé à ces outils. ComboFix n'est en aucun cas un outil de diagnostic ou à tout faire. Fin du rappel, à toutes fins utiles... ++ http://forum.zebulon.fr/message-a-morron2-...ce-t149027.html http://forum.zebulon.fr/procedure-de-fourn...um-t140136.html

Peux-tu psoter un dernier rapport HijackThis stp ? Pour la partie sécurisation et prévention.

Est-ce que Flash disinfector a fait des rapports ?

Double-clique sur smitfraudfix.exe Choisis l'option 2 pour créer un rapport des fichiers responsables de l'infection. Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées. Le fond d'écran peut être supprimé. Poste le rapport sur le forum dans ta prochaine réponse.

ActiveSync Rapi Manager - Logitech LVrcSrv Module - CTF loader - Windows Genuine advantage sont des programmes légitimes, pas de problème. Lxdimon.exe fait partie du pilote de ton imprimante Lexmark.

Bonjour, le système est très infecté. (3 familles) Ton XP est une version officielle et complète ? Télécharge SmitFraudFix de S!Ri sur le bureau : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version. Double-clique sur smitfraudfix.exe Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection. Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt") Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

Ca dit quoi ? Un programme demande l'accès ?

Ok, rien de méchant là. Poste un nouveau rapport DSS stp (il ne fera que le main.txt).