Falkra

Pas de problème. J'irai jeter un oeil en software, apporter des précisions sur les opérations déjà effectuées, si nécessaire. Profite des mises à jour d'Avira.

Ba le balancer par la fenêtre n'arrangera pas le problème. Ton rapport est absolument normal. C'est du software ça, je te conseille d'ouvrir un sujet là bas. Astuce à essayer avant : désactiver le HIPS (le "gardien des programmes" d'Online Armor, pour voir, via un clic droit sur l'icône de bouclier d'OA près de l'horloge). En tout cas ce n'est pas infectieux, ce ralentissement.

Il y a 50 questions sur ta machine, on a réglé la partie infections, ça s'est réinfecté le temps de sécuriser, on a re-réglé ça, si ça se trouve c'est simplement logiciel. Poste un rapport HJT, et s'il n'y a rien d'infectieux, il faudra voir côté software ou autre, sinon on va s'emmêler les pinceaux.

Ok, on sera sûrs. Il met des heures à chaque fois ou ça ne l'a fait qu'une fois ?

Utilise ceci à la place. Télécharge OTC d'Old Timer : http://oldtimer.geekstogo.com/OTC.exe Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

Ok, pas de problème. Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! ------------ De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

On a presque fini, on doit nettoyer et supprimer (procédure spéciale) les outils utilisés. Tu as toujours le fichier infecté dans la corbeille ?

Il revient, apparemment, saufg si tu as oublié de lancer HJT avec les droits admin. Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau. - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes. - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Gogo ? Pas du tout. On ne voit plus d'infection active là. Est-ce que la machine se comporte normalement ? Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche : (petit nettoyage, mais rien d'infectieux, juste des restes inactifs)

Je l'ai, vilain, le fichier. Poste un nouveau rapport HijackThis stp (clic droit, exécuter en tant qu'administrateur), ça doit être beaucoup là, sans ces saletés.

Ca, c'est bien. Poste un nouveau rapport HijackThis stp.

Parfait ! D'abord télécharge tftp.exe sur ce site : http://senduit.com/2f2bf4 Et place-le ici en écrasant l'ancien fichier : c:\windows\system32\tftp.exe On va faire un autre script. ------ Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/692287 Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Tu dois avoir un fichier ZIP dans : C:\_OTM\MovedFiles J'aimerais que tu postes ce fichier ZIP sur ce site (en réglant 1 jour/1day comme durée) : http://www.senduit.com/ Ensuite communique moi le lien qu'affiche senduit, par messagerie privée.

Il y a eu de bonnes choses de faites en tout cas. Mais alors, plus d'icône de Combofix sur le bureau ? Huh... Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files c:\documents and settings\Compaq_Propriétaire\Menu Démarrer\Programmes\Démarrage\winesm32.exe c:\windows\pss\winesm32.exeStartup c:\windows\pss\winesm32.exe [zipfiles] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Bonjour, Microsoft Security Essentials est un antivirus efficace, mais il ne faut qu'un antivirus actif sur la machine, donc si tu as déjà Avira, il faut faire un choix. Pas de problème pour Malwarebytes, qui cohabitera.

Bonjour, si tu peux essayer une réinstallation sans pertes : http://www.micro-astuce.com/depannage/reparation-windows-XP (attention à ne pas te tromper, on ne reformate pas hein, comme ça tu conserves tes données). Cela dit si c'est un truc genre Virut, mais que rien ne démarre, à part un live CD CureIT (et encore, ça ne suffit pas), ça va être coton. Pas sûr, cela dit, à ce stade, que ce soit un virus. Ca démarre ou pas ? Tu arrives au bureau ?

Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Démarre OTM.exe par clic droit, exécuter en tant qu'administrateur pour lancer l'exécution de l'outil. Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\Users\ETIENNE\vauupo.exe C:\Users\ETIENNE\qoocean.exe c:\progra~2\gomuzidi\gomuzidi.dll :reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "vauupo"=- "qoocean"=- "jewelugup"=- :commands [zipfiles] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

La machine est infectée de partout, ça grouille. ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure. Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau => http://senduit.com/31cab4 Patiente une seconde: le téléchargement va se lancer automatiquement. Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Quand CF finit de s'exécuter, il affiche cette boîte de message: Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip). Une fois le scan achevé, le pc va certainement redémarrer: un rapport va s'afficher, poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt Note1: Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc! Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse. Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous => Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier. Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

C'est normal, et d'après le rapport tout s'est bien passé, tu as bien utilisé l'outil, sans problème. Ton système est endommagé il va falloir réparer des fichiers. Ce qui suit n'est que pour cette machine, et cette machine seulement. Ne surtout pas utiliser sur une autre machine : dangereux. Télécharge le fichier CFscript.txt depuis ce site : http://senduit.com/0add5d Place-le sur le bureau, près de l'icône de combofix. Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonjour, jqs.exe vient de Java (et on le voit dans ton rapport) : http://forum.zebulon.fr/jqsexe-t162535.html Débarrasse-toi plutôt de Spybot (à commencer par TeaTimer), d'ad-aware et d'Avast4, ça ira déjà mieux. Ensuite iTunes sur une machine avec plein de chosees qui tournent déjà, c'est la catastrophe garantie, pas besoin d'aller chercher des virus pour la ralentir. Pour Spybot : Désactive TeaTimer. C'est à faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Ne le réactive pas. Désactive la vaccination de Spybot, sinon elle reste après désinstallation. Pour cela, suis ces instructions : Ferme tes navigateurs. Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche : Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination. Confirme si demandé. Ferme Spybot et désinstalle-le. ---------- Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace, par ailleurs le support utilisateur est efficace et réactif, comme il doit l'être pour un logiciel de ce type. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : http://www.avast.com/fre/avast-uninstall-utility.html Au besoin en mode sans échec, si ça rouspète vraiment (rarement nécessaire toutefois). Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php ----------- Garde MBAM, il t'a été sans doute utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats, tu peux te passer d'ad-aware aussi hein. ----------- Pour les allègements, et il y a de quoi faire, on te conseillera après moi.

Il y en a partout. IL faudrait faire tout en mode normal, si le mode normal est accessible et ok, sinon tant pis, en mode sans échec. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Ok, vide ta corbeille. On va finir à la main. Attention avec l'outil suivant, suis bien les instructions, et ne l'interromps pas. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Branche tes clés USB et autres périphériques amovibles (disques durs externes, etc), laisse les branchés pendant que combofix travaille et après le redémarrage. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Ca va aller mieux, poste un rapport HijackThis stp, en le démarrant par clic droit, exécuter en tant qu'administrateur.

Ce rapport est sain, les éléments rootkit sont légitimes, aucun problème.

Il n'y a rien d'infectieux dans ce rapport. Mets à jour le driver de la souris, change les piles si elle est sans fil, nettoie le capteur, et surtout, passe à Vista SP2 puis par Windows updates pour être à jour.