Falkra

C'est encore un résidu de cette bouse, change ta page d'accueil, elle ne devrait plus bouger et se remettre. Pour IE6, même si tu ne l'utilises pas, il reste vulnérable, et bien des logiciels (qui ne sont pas des navigateurs) utilisent le moteur d'Internet Explorer quis e trouve sur la machine, pour afficher des pages web sans se fatiguer, ce qui expose aussi à d'autres risques, un malware peut utiliser IE à ta place, en fait. Vu qu'IE7 peut se télécharger même sur des windows non authentiques, tout le monde devrait l'avoir. Je fais suivre pour le fichier bug, merci de l'avoir posté, je fais remonter l'info.

C'est parfait, ça confirme qu'ils n'étaient déjà plus là. Poste un nouveau rapport HijackThis, on termine.

ET SmitFraudFix rien, Toolbar S&D non plus ? (pas de message type application win32 invalide") ?

Et... Notepad remarche maintenant ? Bien, pour MBAM, c'est un outil tout public, sans danger (contrairement à d'autres qu'on vous fait utiliser).

Merci, je l'ai bien reçu. Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore : C:\QooBox et aussi le Rar qu'on a fait, c'est bon. Tu as été victime d'un faux logiciel, consulte ce site en cas de doute pour éviter les plus actifs : http://bharath-m-narayan.blogspot.com/ Ne retombe pas dans le même panneau. Tu as Nod32, ok. Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware. Site officiel : http://www.malwarebytes.org/ Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement). Du coup dans sa version gratuite il cohabite avec tout. Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php (N'installe pas les toolbars proposées par l'installateur, décoche) Il faudra mettre IE à jour aussi, là c'est IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now") De manière générale le système doit être parfaitement à jour, et les logiciels aussi (Java notamment), pour éviter pas mal d'infections. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Si ça coince, OtMoveIT devrait pêtre téléchargeable à nouveau. Procédure post 7 si tu préfères.

Les "custom rules" (important) étaient dans le passé réservées à la version payante. Une très bonne nouvelle !

Aucun problème, on fait ça quand tu veux/peux. @ bientôt

Impeccable. Je te MP la procédure. On a besoin de faire remonter des fichiers infectieux aux développeurs d'outils spéciaux (comme ComboFix, SmitFraudFix, SDFix, etc...) et il faut des échantillons de ces fichiers pour faire progresser les logiciels, affiner la détection, etc... les rendre plus efficaces.

tu as un groupe de 3 boutons, c'est celui là : Il te permet de dire quels fichiers éliminer. Correction : 2 fichiers : C:\WINDOWS\system32\lphcn4mj0eca7.exe C:\Program Files\rhcj4mj0eca7\rhcj4mj0eca7.exe

Bonjour, pas sûr que ce soit infectieux (même, ça ne ressemble pas à une infection). Cela dit il y a un truc que je veux vérifier, il y a un mot suspect dans notre rayon dans ton post. Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau. NB : Tu dois être connecté avec des droits d'Administrateur. ferme toutes les applications et fenêtres double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : tu n'auras pas de boîte de dialogue (pas de OK) quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran [*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post [*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) [*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner [*] n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : crée un point de restauration dans Windows XP et Vista nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Mais c'est très bien ça, tests ou petits essais, il faut essayer les programmes. Quand on dit "Norton est lourd", on a souvent raison, sauf sur une machine récente avec plein de ram, tester en condition réelles, c'est plus fiable pour ça par exemple, et se faire un avis sur notre machine et voir si on est allergique à un programme (son interface, son fonctionnement, etc).

Si tu as winrar déjà installé, c'est facile. Ouvre le poste de travail, puis le disque C par double clic. Fais un clic droit sur le dossier Qoobox et choisis "Add to Qoobox.rar" ou "Ajouter à Qoobox.rar" suivant la langue de winrar. Ca créera un RAR contenant les fichiers infectés que j'aimerais récupérer pour analyse. Vérifie ensuite simplement que le fichier est bien créé et donne moi sa taille (clic droit dessus, puis propriétés). ensuite je te dis comment me l'envoyer et on retire combofix et ça (procédure spéciale : pas à la main).

Il veut que je le vire, il va réussir. Ok, pour les symptômes, c'est du windows ça, pas du malware. On va faire le ménage dans la config sécurité et retirer les logiciels spéciaux utilisés pour la désinfection. Tu peux supprimer (à la main) DiagHelp et Ewido Micro Scanner. C'est bien que tu utilises MBAM, il est très bon, e cohabite avec tout, dans sa version gratuite. Tu as Avast et la suite Norton (antivirus + firewall) Ca fait trop, il faut un logiciel résident (actif en mémoire et travaillant à l'arrière plan) par type de spécialité. Là ça fait un antivirus de trop, et ça consomme beaucoup de ressources pour rien (ce qui ralentit la machine). tu as plusieurs options, car ils ne sont pas franchement bons, ni l'un ni l'autre. Option 1 : virer avast et garder la suite Norton (lourde et connue pour ça. Option 2 : virer avast et Norton, et passer à une config gratuite. Souci : si tu as payé Norton, c'est idiot, mais s'il était préinstallé à l'achat de la machine, pas de souci.

Tu sais faire un ZIP ou RAR d'un dossier ? (je demande, pour récupérer des fichiers infectés, pas pour évaluer ton niveau informatique ^^)

Le site a un problème et transmet un fichier vide, on va faire avec un autre. 1) Télécharge Killbox (par Option^Explicit) - Décompresse-le sur le bureau * Ouvre Killbox -- Coche la case [X] "Delete on reboot" -- Coche la case [X] "All Files" -- Clique sur l'icône jaune avec le dossier et retrouve les fichiers suivants (tu dois chaque fois recliquer sur l'icône pour ajouter les 4 fichiers) : * Clique sur la croix blanche sur fond rouge -- Au message "File will be Removed on Reboot, do you want to reboot now" clique sur OUI -- Redémarre ton ordinateur s'il ne le fait pas automatiquement * Aprés son redémarrage, relance Killbox puis clic sur le menu fichier -> Log -> Actions History Log Poste le rapport ici * Préviens-moi s'il t'affiche le message : "pending file rename operations registry data has been removed by external process" mais continue la procédure jusqu'au bout...

Il n'y a pas d'astuce, et oui, c'est franchement lourd. Tu clique sur le bouton nouveau, en bas à droite. Il a cette tête là : pour créer ton sujet. Lis et mets ça dans tes favoris : http://forum.zebulon.fr/comment-participer...rum-t98948.html Et ne poste PLUS dans ce sujet (ça fait déjà une demi douzaines de posts parasites) et mêle toi de ton PC au lieu de t'occuper des logiciels de toutoune, car vu tes allusions douteuses, on va se marrer en lisant tes rapports HijackThis.

Normal pour le redémarrage. Donc ton raport HijackThis est fait après le redémarrage ? (si oui : impec) Le rapport est clean, d'ailleurs. Est-ce que tu as encore des symptômes de l'infection, visibles de ton côté ? (on a encore un peu de boulot)

Le fichier est bien à l'adresse indiquée et fonctionne, si ça ne passe pas, je peux bricoler, mais vérifie d'abord.

C'est bien ce que je pensais. ton fichier Ereg.dat est lié au jeu Les Sims, en fait. Absolument pas infectieux. L'autre n'est pas une infection non plus, ce cher CA a tendance à virer parano (depuis toujours, cela dit, un peu comme A-squared), c'est une politique de classement. As-tu des symptômes infectieux sur la machine (autre que les ralentissements, dont on va s'occuper dans peu de temps) ?

Impec ! Relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche : Juste ensuite sans redémarrer : Télécharge OTMoveIt2 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\WINDOWS\system32\lphcn4mj0eca7.exe C:\Program Files\rhcj4mj0eca7\rhcj4mj0eca7.exe EmptyTemp Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt2 Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier SystemDrive\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [SystemDrive représente la partition sur laquelle est installé le système, généralement C:] Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ici ce n'est pas un malware, c'est ThreatFire, plutôt du bundle (installation en pack logiciel quoi). Ok, tu nous diras (on reprend les tests de Douds, c'est cool).

C'est la barre d'outils de Bitcomet, ce n'est pas un trojan, cela dit c'est (comme tout outil de p2p), un nid à spywares. Je vais te MP la procédure pour me faire parvenir le fichier eReg.dat L'autre fichier n'est pas actif. CA a tendance à classer néfaste ou riskware tout et n'importe quoi, une sorte de classement moral où tout le p2p et les casinos sont proscrits, or tout n'est pas infection stricto sensu.

Vous êtes aussi intempestifs que les popups de pubs qu'on éradique. Pas cool pour Toutone (son sujet). Chaque chose en son temps. Merci. http://forum.zebulon.fr/index.php?s=&s...t&p=1194422 Nettoyage programmé. (edit : effectué)

Je crois que c'est de l'opt-out, le setup propose d'installer au passage un autre programme, et si on ne décoche pas, on l'a. Ici ça va, mais dans certains cas, c'est un sponsor ou une infection qu'on te propose et si tu ne décoches pas pas la croix...