Falkra

Supprime OtMOveIT et le dossier C:\_OTMoveIt\ Supprime Lop S&D et SDFix par ajout/suppression de programmes ou leur raccourci de désinstallation dans le menu démarrer. Efface MBR.exe à la main. MBAM tu peux le garder. Poste un dernier rapport HijackThis (il faudra virer Avast, il ne t'a protégé de rien de ce que tu avais, et il y avait du choix, pourtant).

Ok, en tout cas le fichier a bien été déplacé, tu peux supprimer la ligne de HijackThis, normalement elle ne devrait plus revenir, après un redémarrage (si elle revient, on va être méchants avec).

Ca a marché ? Bon, on sécurise "demain" (et retrait propre des outils spéciaux )

Impec. (on doit sécuriser et tout ça pour finir, mais le plus gros est déjà fait). Tu as un composant de bureau, va dasn les propriétés d'affichage (clic droit propriétés, sur le bureau), onglet bureau, bouton personnalisation du bureau, et après, décoche les croix, et supprime si besoin si le bouton n'est pas grisé. Image :

Parfait, c'était de la clé orpheline : sans danger. Relance HijackThis, coche ces lgnes et clique sur le bouton "Fix checked", en bas à gauche : Vois-tu encore des symptômes infectieux sur la machine ?

Ha, voilà qui est intéressant, et très vilain de sa part. Trèèèèès bien de l'avoir recopié. Je vais te demander un bon gros rapport bien gras pour la suite. Voilà de quoi le fabriquer (c'est long, mais en fait c'est facile et relax). Je pourrai sans doute traiter ça que "demain". Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau. NB : Tu dois être connecté avec des droits d'Administrateur. ferme toutes les applications et fenêtres double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : tu n'auras pas de boîte de dialogue (pas de OK) quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran [*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post [*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) [*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner [*] n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : crée un point de restauration dans Windows XP et Vista nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Il y a des chances que ce soit ça qui t'ait apporté une partie des infections présentes... Télécharge OTMoveIt2 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\Documents and Settings\Thierry\Application Data\Microsoft\Windows\jcauhi.exe C:\DOCUME~1\Thierry\APPLIC~1\COPYFA~1\typeseekmpeg.exe EmptyTemp Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt2 Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier SystemDrive\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [SystemDrive représente la partition sur laquelle est installé le système, généralement C:] Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ok, poste un nouveau log Hijackthis, on finit (avec un autre outil). Hou, le vilain Keygen. Beaucoup d'infections arrivent par les cracks...

Yep, ça veut dire qu'il n'a pas d'infos de version. Huh. C'est bien là qu'il est hein ? C:\windows\system32\ftps.exe (sinon, change ce que tu vas entrer dans OtMoveIt). Télécharge OTMoveIt2 par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): C:\windows\system32\ftps.exe Retourne dans la fenêtre de OTMoveIt2, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt2 Poste dans ta prochaine réponse le rapport de OTMoveIt2 (contenu du fichier SystemDrive\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) [SystemDrive représente la partition sur laquelle est installé le système, généralement C:] Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Ok, ça marche.

Relance hijackThis, coche ces lignes et clique sur le bouton fix checked, en bas à gauche : Ensuite, sélectionne entièrement l'encadré ci-dessous , puis clique droit et choisis Copier C:\Documents and Settings\Thierry\Application Data\Microsoft\Windows\jcauhi.exe C:\DOCUME~1\Thierry\APPLIC~1\COPYFA~1 Relance Lop S&D Choisis cette fois ci l'Option 4 ( LopScript ) Une page blanche va s'ouvrir , clique droit dessus et choisis Coller Ferme la page , il te sera demandé de l'enregistrer , clique sur [Enregistrer] Ne ferme pas la fenêtre lors de la suppression ! Poste le rapport généré ( C:\lopR.txt ) ( Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide )

Essaie de repérer le nom complet du processus qui te pose problème.

Ok, impec. Tu peux marquer résolu.

Ce n'est pas DSS qui a pu faire ça, en tout cas. Le bruit strident que tu évoques, ce sont des bips ? (bips longs, bips courts) Si oui, combien de bips ?

Voilà qui ne plaide pas en sa faveur, mais je ne veux pas le shooter tout de suite à la manière forte. Fais clic droit propriétés dessus. Dans l'onglet "version" ça marque quoi quand tu cliques sur "entreprise" et autres champs. Lié à Microsoft ?

Un court instant, c'est tout à fait normal.

Parfait. Redémarre et poste un nouveau rapport HijackThis (à faire après ce redémarrage).

Ha zut, il est utilisé et verrouillé (ça n'indique pas forcément qu'il soit infectieux, mais il faut qu'on sache). Hijackthis est toujours sur ton bureau ? (important, car ça pourra faire un backup) Relance-le, coche cette ligne et fais "fix checked" : Ensuite redémarre, le fichier ne sera pas actif, tu pourras l'envoyer sur virustotal.

Excellent. Dernières manips pour la machine : Relance hijackThis, coche cette ligne et clique sur fix checked, en bas à gauche : Il faudra mettre IE à jour aussi, là c'est IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici : http://www.microsoft.com/windows/products/...ie/default.mspx (bouton "get it now")

Non, a priori ce programme n'y est pour rien. Ca dit accès refusé, tu as essayé de désactiver l'UAC pour changer de thème ?

Bonsoir, deuxième PC sous W98 dans la même journée, ça, c'est rare. Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Je regarde ça. Est-ce que tu sais graver une image ISO pour faire un cd, puis utiliser un LiveCD (je demande car je ne vois pas de logiciel de gravure) ?

Juste pour savoir, ce patch modifie une dll de windows pour permettre d'installer des thèmes non signés par microsoft. Apparemment, tu ne l'as pas installé (tant mieux).

Les rapports sont est ok. Plus de symptômes infectieux ? Tu veux nettoyer le registre ? Je ne suis pas fanatique des Ccleaner et autres, souvent ils effacent un truc de trop, et les gens imaginent gagner en performances (on ne gagne pas grand chose en réalité côté performances, ou espace disque). Par contre un compacteur de registre (appelé souvent - à tort - "défragmenteur de registre") peut faire du bien. Tu as antivir là, ça impec. Tu peux garder MBAM. Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement). Du coup dans sa version gratuite il cohabite avec tout. Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer. Après cela, efface ce dossier s'il existe encore. C:\QooBox Désinstalle Lop S&D par ajout/suppression de programmes ou le raccourci de désinstallation du menu démarrer. DSS, vire-le à la main, MSNFix aussi.

As-tu installé le patch uxtheme ?