Falkra

Tu as Dr. Guard, une des pires daubes du moment. Si tu penses avoir encore sous la main le fichier ou l'url du site qui a déclenché l'infection, il est important de la communiquer pour faire avancer les détections. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Désactive ton antivirus le temps du scan de MBAM. Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Il faut des données pour qu'on y voie un peu. Suis ces listes d'infos que je vais te donner, ne fais traiter ta machine que sur un seul forum, et on va avancer rapidement. N'essaie rien totu seul à partir de maintenant, sinon les infos que tu posteras seront erronées. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Tu parles, il a trouvé un truc dans la quarantaine de combofix, qui n'aurait jamais dû être là. Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox

C'est hijackthis.de qui a dit ça, et c'est une erreur, ce site est bourré d'erreurs de ce type et il ne faut pas suivre ses conseils, surtout pas, la preuve.Le processus n'est pas spécialement problémartique côté mémoire, de manière générale, méfie toi des renseignements trouvés pour d'autres machines, tout n'est pas systématiquement transposable. Désinstalle la partie McAfee, de toute façon de trop avec un antivirus actif.

Pour enlever des entrées de démarrage (équivalent O4), passe par MSconfig par exemple, ou d'autres. Windows 7 n'existait pas quand HJT 2.0.2 est sorti (07/2007), et ça peut poser des problèmes, on le voit dans les services, le fou qui "fixerait" les file missing (qui ne sont pas missing du tout) aurait de très vilaines surprises, par exemple. De manière générale, l'indicateur "file missing" n'est pas fiable dans le programme.

Bonjour, je rappelle en passant que HijackThis 2.0.2 n'est pas à utiliser pour "Fixer", sous Windows 7, dégâts à prévoir sans cela.

Garde Zonealarm pour le moment, mais il y a un possibilité (rare) pour qu'il soit coupable dans cette affaire. Mets à jour Antivir avant de faire un scan (voir tuto), et poste le rapport une fois obtenu, attention ça peut être long (plus d'une heure).

Logiquement non, surtout s'il ne reste rien du virus.On verra ce que dit l'antivirus. Passe à Antivir, bonne idée. MBAM est bien plus efficace qu'ad-aware et spybot, garde MBAM. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php

Ok, tout va bien de ce côté. Par contre, je ne vois pas d'Antivirus sur ta machine, est-ce normal ?

Ok, non, pas de nom en particulier, parfois le déclencheur est connu et encore sur la machine (pièce jointe, etc), et on le récupère, là bah on ne sait pas, pas grave. Les traces de la bestiole ont été supprimées, mais ça ne règle rien côté blocages. On va faire un petit test. Télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster.

Ca ce ne sont que de petits restes inactifs, qu'on va supprimer. Sinon, MSConfig ne suffit pas à éliminer tout ça. Tu n'as pas répondu, pour le fichier, à la base c'est pour mieux le faire reconnaître aux éditeurs d'antivirus, si tu penses l'avoir. Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\Documents and Settings\Annette\Menu Démarrer\Programmes\Démarrage\ihaupd32.exe :reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Annette^Menu Démarrer^Programmes^Démarrage^ihaupd32.exe] :commands [zipfiles] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ce n'est pas un problème. => As-tu encore le fichier responsable de l'infection ? (celui qui l'installe ou que tu soupçonnes) Télécharge SystemLook de Jpshortstuff sur ton Bureau à partir d'un des liens ci-dessous. Miroir de téléchargement #1 Miroir de téléchargement #2 Double-clique sur SystemLook.exe pour le lancer. Clic droit|Copier le contenu du cadre ci-dessous et clic droit|Coller dans la zone texte de SystemLook : :regfind ihaupd32 Clique sur le bouton Look pour démarrer l'examen. A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse. Nota Bene : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

Bonjour HAYABUSA, Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section, cela arrive, mais tu devrais voir que le sujet est déjà en cours de traitement, et pour le coup, ton intervention gêne la procédure. Je t'invite donc à la lire maintenant, c'est par là : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout est bien expliqué, notamment les permissions pour prendre en charge ou intervenir dans des sujets dans la section désinfection du forum. Merci d'avance.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou d'un peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages là on ne voit rien d'anormal, mais as-tu encore le fichier responsable de l'infection ? (celui qui l'installe ou que tu soupçonnes) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Ha ok, c'est plus gros comme gibier. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Absolument, ce n'est pas grave, ce n'est pas du contenu activement nuisible.Si tu as mis le réglage en place toi-même, fais ignorer, sinon fais corriger. Pour l'autre PC, il y a une section pour optimiser où tu pourras demander conseil (Sécurité > Optimisation, Sécurisation, Prévention), ou la section HArdware, s'il s'agit de changer de matériel.

Bonjour, ce n'est pas grave en soi, il s'agit d'un réglage de Windows qui est ici détecté, et MBAM te propose de le remettre à sa valeur standard. Ce réglage empêche l'utilisateur d'activer ou de désactiver Active Desktop et de modifier la configuration de Active Desktop. MBAM recherche aussi ce type de réglages, car un certain nombre de malwares les modifient dans le cadre de l'infection d'une machine. Si tu as mis toi-même ce réglage en place, et que tu veux le conserver, tu peux demander à MBAM de l'ignorer et ne plus le détecter (tu as un bouton pour ça au moment du rapport), sinon tu peux faire corriger.

Bah tout le monde n'a pas l'envie ou la possibilité de passer le temps qu'il faut pour apprendre et décortiquer tout ça, il faut souvent être passionné, en tout cas, on ne va pas le reprocher aux gens. Pose les questions nécessaires, ça rend souvent service à d'autres au passage. Bonne journée.

Bonjour Gloudoc, Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section, cela arrive. Par contre tu n'as pas lu le sujet non plus, c'est plus grave. Ensuite j'ai déjà remonté le fichier winesm32.exe ce matin à Malwarebytes et à l'ensemble des éditeurs qui ne le détectaient pas d'après VirusTotal (du moins cette variante, car il y en a plusieurs et celle là n'est pas détectée par MBAM base de données 3806, mais le sera). Enfin, cette méthode n'est pas la bonne pour les infections actuelles, s'il suffisait de rechercher/supprimer un fichier, un aurait tous spybot et ad-aware, et tout irait bien. Je te conseille donc vivement de la lire maintenant, c'est par là : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout est bien expliqué, notamment les permissions pour prendre en charge ou intervenir dans des sujets dans la section désinfection du forum. Merci d'avance. Le but n'est pas tant de réprimander que de garantir une qualité d'intervention et un gain de temps. Si tu as besoin et surtout envie de te former (c'est un gros investissement en temps), contacte-moi par messagerie privée.

Bonjour, si vous avez besoin d'un coup de main, n'hésitez pas (MP, etc). Noaleia, on ne te laissera pas tomber, quoi qu'il arrive, ne t'inquiète pas. ------------ Pour Jaime R, le petit mot que je mets d'ordinaire dans ces cas-là : Bonjour Jaime R, (ou hola, peut-être) Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section, cela arrive. Je t'invite donc à la lire maintenant, c'est par là : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout est bien expliqué, notamment les permissions pour prendre en charge ou intervenir dans des sujets dans la section désinfection du forum. Merci d'avance.

Ce n'est pas un problème, c'est bien de poser des questions.

Justement, en fait ça ne sert à rien, vu que jqs n'est pas nuisible. Utilise plutôt JavaRa pour désinstaller proprement les anciennes versions qui se superposent inutilement. Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Spybot. Si tu veux désinstaller spybot il faut faire ça oui, sinon il te laisse des milliers de lignes de vaccination dans Firefox et surtout dans la base de registre, ceci pour rien. Du coup ça engendre parfois des ralentissements, mais de la connexion à internet, pas de la machine. MBAM est bien plus efficace, justement, spybot joue à faire peur avec ses cookies, les gens se croient infectés. Ca vient de l'OS, pas de MBAM a priori, une vérificatin du disque dur est sans doute à faire (équivalent scandisk), ou alors c'est une interactoin avec un autre programme, ça arrive). McAfee est connu pour nuire à MBAM, il faut placer les fichiers de MBAM dans la liste des exclusions de McAffee : http://forums.malwarebytes.org/index.php?s...mp;#entry162098 Ces fichiers sont à faire ignorer par McAfee, c'est lui qui perturbe MBAM : Tu devrais peut-être passer par la case analyse du forum, si tu trouves des bestioles, mais de toute façon Avast4 va en laisser la moitié. Tu peux vider la restauration, mais ça ne sert pas à grand chose, dans la pratique.

Bonjour sharleen*; La section 17 indique un serveur proxy/DNS d'AOL : O17 - HKLM\System\CCS\Services\Tcpip\..\{A03628E2-88F3-4AFB-9F23-4F53264D1AD5}: NameServer = 205.188.146.145 La section 18 un plugin de Norton Internet Security : O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll Il n'y a rien d'anormal, ni de dangereux là dedans.

Très bonne idée. Tu peux supprimer Gmer.

Ok, n'hésite pas à poser des questions pendant la lecture, si tu en as.