Falkra

Peut-être un problème de serveur temporaire. Là j'y accède.

C'est pas grave ! MBAM n'a rien trouvé, ce qui est bon signe, et le dernier rapport HJT était ok. As-tu encore des symptômes anormaux ? (on sécurise)

Ouvre le bloc notes. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt ** Le script va créer sur ton bureau et des fichiers html un zip contenant authuitu.dll, c'est normal, ne les efface pas. **

Ben oui, up. Poste le rapport de MBAM stp.

Victoire ! Laisse tourner un peu le système, tu me diras si ça va bien. On nettoiera après pour retirer Avenger (ne l'utilise plus).

Super. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\Windows\System32\authuitu.dll Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Il y a des saletés, on va traiter ça, mais d'abord vérifier quelque chose. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\WINDOWS\system32\18EFB78CAF.sys Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu auras sans doute besoin d'afficher les fichiers cachés et ceux du système : http://www.libellules.ch/afficher_fichiers.php

Ca semble ok selon le rapport. Contrôle stp la présence ou non de C:\Windows\ehome\ehTray.exe (tu commences à le connaître).

Télécharger The Avenger par Swandog46 sur le Bureau. http://swandog46.geekstogo.com/avenger2/download.php Extrais avenger.exe sur le bureau. Et double clique dessus pour le lancer. Confirme au message d'avertissement, il signale qu'il s'agit d'un outil dangereux. ***Copie colle tout le texte ci-dessous dans la zone de saisie en dessous de "Input script here" : (le contenu de la boite de citation, sans le mot citation, pas de ligne blanche vide au debut, etc...) Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. Si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. Clique sur le bouton "Execute" et confirme lorsque demandé. ***The Avenger va automatiquement faire ce qui suit: * Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera windows 2 fois.) * Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal. * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt il faudra poster le contenu de ce rapport.

Je peux intervenir sur le registre et corriger certaines choses. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Pas forcément lié, mais il faut y jeter un oeil. Quel est le message exact ?

Un logiciel multimédia, gravure ou codec peut causer ce genre de désagréments, quel est le programme de ce type que tu as installé ou désinstallé parmi les derniers ?

Est-ce que C:\Program Files\Antivirus 2009 contient des fichiers ? L'UAC est désactivée, est-ce que tu peux la réactiver sans plantage ?

Arf, ça peut venir de presque n'importe quoi, y compris du matériel. On va voir côté combofix avec la nouvelle version. Ecrase ton ancienne version par celle que tu vas télécharger ci dessous : Télécharge combofix.exe de sUBs et renomme-le combo-fix.exe avant de le sauvegarder sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix Il faudrait vérifier ta ram avec memtest, voici un tuto : http://www.depannetonpc.net/fiches-pratiqu...al-memtest.html

C'est contradictoire, dans ton message n°51 tu me dis que tu peux le manipuler. Heu ?

Ha, j'ai loupé un message en effet, le premier des deux. On va faire un rapport plus approfondi, cela peut venir de windows tout seul comme de malwares, ça permettra sans doute d'y voir plus clair. Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau. NB : Tu dois être connecté avec des droits d'Administrateur. ferme toutes les applications et fenêtres double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : tu n'auras pas de boîte de dialogue (pas de OK) quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran [*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post [*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) [*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner [*] n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : crée un point de restauration dans Windows XP et Vista nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Le rapport est clean. Bagle a sans doute endommagé ton antivirus (Antivir). S'il ne fonctionne pas bien, il faudra le réinstaller, ainsi que Spybot certainement.

Tu peux supprimer SmitFraudFix. J'ai oublié de te faire virer cette ligne : Même méthode que pour les lignes O3, tu lances hijackthis via clic droit exécuter en tant qu'administrateur.

Excellent travail de SmitfraudFix, comme d'hab. Relance HijackThis par clic droit, "exécuter en tant que..." "administrateur", coche ces lignes et fais "fix checked" : As-tu encore des symptômes anormaux ?

Je ne pense pas qu'avast soit en cause pour les écrans bleus. Il faudrait un type d'erreur pour le déterminer plus clairement, ce genre de messages : Antivir dans sa version gratuite n'a pas de module de scan des mails, or l'email est un vecteur de diffusion de virus et autres très utilisé, partant de ce constat, les éditeurs suivent et proposent des solutions dédiées. Un scan pop3 (le protocole qui rapatrie les mails) écoute les ports de communication concernés (110 par défaut, pour la réception). Quand quelque chose passe dans ce canal de communication, il avertit dès qu'il identifie une menace. L'utilisateur gagne du temps : le nuisible est bloqué tout de suite, avant même que le mail ne se trouve dans ton client mail. Si on se place du côté de l'utilisateur, et non du côté technique et théorique, cela rassure de savoir que l'on a quelque chose en plus, et c'est un bon argument commercial. En revanche, sans ce module dédié, le module résident de l'antivirus, correctement paramétré, réagira dès que l'utilisateur se place dans une situation vulnérable : toucher à une pièce jointe infectée, essayer de la télécharger sur le bureau ou de l'ouvrir directement. On reste protégé. Seul ce qui menace concrètement et réellement est intercepté, au moment critique. Bien sûr le module résident doit être configuré pour scanner les fichiers sur lecteur et écriture/création, il l'est par défaut dans Antivir. Après, ce n'est qu'un conseil, je ne gagne rien si tu installes Antivir, mais Avast ne te protège pas des masses. AVG est une alternative à Antivir si tu préfères.

Impec. Poste un nouveau rapport HijackThis stp, et on va programmer la suite. (il en reste, c'est normal)

Ok, ce sera traité. Double-clique sur smitfraudfix.exe Choisis l'option 2 pour créer un rapport des fichiers responsables de l'infection. Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées. Le fond d'écran peut être supprimé. Poste le rapport sur le forum dans ta prochaine réponse.

Bonjour, ComboFix n'a pas supprimé de fichiers de Bagle, dans ce rapport donc soit tu n'es pas infecté, soit tu ne l'es plus. Je remarque que tu l'as déjà utilisé plusieurs fois, même hier. Ce sont ces rapports là qui font la différence. Télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" L'analyse démarre, le scan est long, c'est normal. A la fin de l'analyse, un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. Ensuite, et après ce scan (qui est long), poste un rapport hijackThis stp. Clique sur ce lien pour télécharger HijackThis 2.0.2 : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau. Double-clique sur l'icône HijackThis : HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport). Clique dessus. Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Le rapport HijackThis ne montre pas d'infection active, ni les deux autres. Si antivir supprime une infection non active, l'histoire s'arrête là côté danger, jusqu'à ce qu'on l'active à la main ou par inadvertance. Un cookie n'infecte pas, au pire il collecte des données statistiques.

Bonjour, c'est bien un autre pc que ton autre sujet, hein ? Le machine est bien infectée. Télécharge SmitFraudFix de S!Ri sur le bureau : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version. Double-clique sur smitfraudfix.exe Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection. Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt") Si process.exe est détecté par ton antivirus ou un autre logiciel, n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il sert à terminer des processus, d'où l'alerte émise par ces antivirus qui y voient un danger potentiel. (doc).