Falkra

Bonjour, apparemment tu as effacé des fichiers temporaires. Un fichier était en cours d'utilisation, donc il n'était pas supprimable (et pas à supprimer).

DSS pèse 670 Ko, tu peux le transférer par une clé USB, ou au pire une disquette. Dis moi si ça passe avec une disquette.

Le rapport est clean. Est-ce qu'il y a encore des symptômes infectieux sur la machine ?

Salut, et tu as bien fait. La vie réelle d'abord. Pas grave, pour tes manips. On va regarder ça de près. Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau. NB : Tu dois être connecté avec des droits d'Administrateur. ferme toutes les applications et fenêtres double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : tu n'auras pas de boîte de dialogue (pas de OK) quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran [*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post [*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) [*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner [*] n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : crée un point de restauration dans Windows XP et Vista nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Télécharge SmitFraudFix de S!Ri sur le bureau : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version. Double-clique sur smitfraudfix.exe Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection. Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt") Si process.exe est détecté par ton antivirus ou un autre logiciel, n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il sert à terminer des processus, d'où l'alerte émise par ces antivirus qui y voient un danger potentiel. (doc).

Super. Le rapport est clean, as-tu encore des symptômes infectieux sur la machine ?

Ok, ça, ce sont de vieux restes, pas de problème. Il y a encore des choses à nettoyer. Télécharge une nouvelle version de combofix, et écrase l'ancienne, qui doit être sur ton bureau. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Excellent. Poste un rapport hijackThis stp.

Excellent, il a viré tout ça. Ce sont des restes, inactifs, c'est très très bien ça. Poste un rapport HijackThis qu'on voie si tout colle, et son finit.

Excellent. Est-ce que rundll32 ne boude plus, quand tu essaies l'ancienne méthode ?

Impeccable, on va nettoyer ça. Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". ! Ne ferme pas la fenêtre lors de la suppression ! Un rapport sera généré, poste son contenu ici. NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." Tape explorer puis valide. Ensuite ajoute un nouveau rapport HijackThis.

Essaie ça, menu démarrer, exécuter, et tu entres "netsetup.cpl" comme commande, (sans les guillemets). Ca lance l'assistant de création réseau.

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. Lance l'installation du programme en exécutant le fichier téléchargé. Double-clique maintenant sur le raccourci de Toolbar-S&D. Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. Poste le rapport généré. (C:\TB.txt)

La console a bien dit ok comme quoi le fichier était copié ? (demande de confirmation type o/n pour écraser)

Ok, tu peux installer Antivir, voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

Ok.

J'allais te le poster, mais ta commande copy est ok.

Spyware secure est un faux programme. On va le désinstaler automatiquement. Poste d'abord un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Bonjour, Désactive tes protections résidentes ( Antivirus , ... ) tu les réactiveras ensuite Télécharge Lop S&D (d'Eric_71) sur ton bureau Double-clique dessus pour lancer l'installation Puis double-clique sur le raccourci Lop S&D présent sur ton bureau Sélectionne la langue souhaitée, puis choisis l'Option 1 ( Recherche ) Patiente jusqu'à la fin du scan Poste le rapport généré ( C:\lopR.txt ) ( Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide).

On continue, on va essayer d'éviter de réutiliser combofix : Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre, le scan est relativement long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Efface OTMOveIT et efface ce dossier à la main : C:\_OTMoveIt Supprime SmitFraudFix et DSS à la main. Ok, on sécurise : je ne vois pas d'antivirus actif. Il en faut un, je te propose Antivir, voici un lien de téléchargement direct : http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware. Site officiel : http://www.malwarebytes.org/ Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement). Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/ Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php (N'installe pas les toolbars proposées par l'installateur, décoche) Par ailleurs, il faut mettre à jour ta version d'internet explorer, même si tu ne l'utilises pas, car son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc : http://www.microsoft.com/windows/products/...ie/default.mspx Voici enfin un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Cool. Oui.

Redémarre, mc affee n'a pas fini son travail d'installation, je le vois dans le rapport. Après ce redémarrage, essaie de désactiver mcaffee le temps de la désinstallation combofix. si vraiment ça ne donne rien, vire le fichier à la main, puis le dossier c:\qoobox (qui va faire hurler mcaffee).

Ca désinstalle, avec /u, bah un truc simple, tu renommes en combofix.exe (le nom original) et là tu entres la commande combofix /u