Falkra

Dref01, les questions, il vaut mieux y répondre que d'en poser... ...si ça n'aide pas, abstiens toi, tu vas finir par prendre un ban. Mizo, relance HijackThis, coche ces lignes et fais fix checked: Débarrasse toi de WinAntiSpyware2006 par ajout/suppression de programmes, dans un premier temps, on s'occupera du reste après.

Re. Tu trouveras le rapport dans C:\Deckard\System Scanner en cas de besoin.

Dans options, en haut à droite de cette page (dans la barre bleue de titre du tout premier post), tu peux faire "suivre ce sujet" et avoir une notification par mail quand il y a une réponse. Le mail est celui donné dans ton profil. La dll supprimée est bien infectieuse, pas de souci là dessus. Il faut un diagnostic autre : Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau. NB : Tu dois être connecté avec des droits d'Administrateur. ferme toutes les applications et fenêtres double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.) s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS : tu devras cliquer 2 fois sur le OK des boîtes de dialogue Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent : main.txt <- ouvert en premier plan et en plein écran extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches) S'il s'agit d'une utilisation supplémentaire de DSS : tu n'auras pas de boîte de dialogue (pas de OK) quand le traitement est terminé, un fichier texte s'affiche : main.txt <- ouvert en premier plan et en plein écran [*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post [*] copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation) [*] n'oublie pas de réactiver les protections si elles ont été stoppées. Ce que fait DSS : crée un point de restauration dans Windows XP et Vista nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.

Ok. Est-ce que ton antivirus fonctionnait correctement la dernière fois que tu l'as croisé ?

Ca doit aller mieux, le plus gros devrait être déjà fait. Essaie de mettre à jour Antivir, dis mi si ça marche comme ça devrait. Ensuite, télécharge Malwarebytes' Anti-Malware (MBAM) Double clique sur le fichier téléchargé pour lancer le processus d'installation. Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche" Sélectionne "Exécuter un examen complet" Clique sur "Rechercher" Le scan démarre. A la fin de l'analyse, un message s'affiche. Clique sur "Ok" pour poursuivre. Ferme tes navigateurs Si des malwares ont été détectés, leur liste s'affiche. En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

Tu as sans doute une clé USB ou un disque dur amovible infecté (K:\) ne t'en sers pas tout de suite. Suite du programme, et là ça se complique un peu. ** -- Désactive temporairement ton antivirus. -- ** Ouvre le bloc notes. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt @ toute

Tu peux virer cette ligne O23, car de toute façon le fichier qu'elle lance n'est plus là. Là c'est sans risque. Pas grave pour les fichiers cachés, HijackThis et autres voient à travers.

Relax, ce n'est pas dangereux. Je" dis qu'il manque des choses parce qu'il y a eu des manips avant la désinfections, et on n'aura pas les rapports. Aurais-tu bidouillé avec des utilitaires de sécurisation, par exemple des restrictions NTFS, ou des restrictions pour l'accès à regedit, ce genre de choses ? Je pense que c'est plus toi qui a bricolé qu'un malware. (ce n'es pas un reproche) Si tu as mis en quarantaine ton keygen infecté sans le lancer/exécuter, tu n'auras pas été infecté. Pour les comptes, ça peut venir du'n réglage de base de registre ou une bidouille dans un programme de tweak (réglages avancés du système). Ton dernier rapport HijackThis est clean, seulement ceci : peut venir d'un malware (traité par SmitFraudFix logiquement) ou de configurations avancées faites par l'utilisateur. SmitFraudFix ne dit rien, donc je pencherais plus pour la voie non nuisible. Voici de quoi occuper tes clés USB ou autres si jamais tu penses qu'elles sont infectées, on le saura : Télécharge Flash Disinfector de sUBs sur le bureau. Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau). Branche les supports amovibles, démarre-les (disques dur externes par exemple) pour ceux qui le devraient, sans ouvrir le contenu par le poste de travail. Double-clique sur Flash_Disinfector.exe. Le nettoyage est rapide, un message informer de la fin des opérations. Si un rapport est généré en cas d'infection, sauvegarde-le et poste le dans la prochaine réponse. S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une. @ toute

Le problème semble avoir trouvé sa solution. Ainsi, afin de signaler clairement à ceux qui ont un problème similaire qu'ils ont peut-être une solution toute trouvée (s'ils pensent à utiliser la fonction Recherche en indiquant le mot-clé "résolu" auparavant), et afin de signaler aux autres contributeurs qu'il est inutile de continuer à se creuser la tête sur le problème (à moins d'avoir des suppléments d'informations à apporter pour mieux comprendre ce qui posait problème), un modérateur a préfixé le titre du topic avec la mention [résolu]. Merci, à l'avenir, de bien vouloir prendre à votre charge cette mise à jour quand vous estimez que votre problème a été résolu de manière satisfaisante (et parallèlement, si le problème a disparu "mystérieusement", inutile d'induire les gens en erreur ) Pour cela, votre premier message

Oui, il faut virer ça, même si ce n'est pas méchant tout seul : Est-ce que ce dossier est vide ? C:\Program Files\Fichiers communs\System\ (il faudra peut-être afficher les fichiers masqués, tuto)

Il y a eu un os, mais ce n'est pas grave, on va procéder différemment, sans SDFix. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Ca, c'est la ligne que tu vas éliminer, relance hijackThis, coche ça et fais "fix checked" : Vu que c'est un ActiveX, normalement ça ne s'installe pas tout seul, ce que c'est, c'est bien ce dont ça a l'air, un plugin de site de fesses pour IE. Laisse SmitFraudFix pour le moment, mais il faudra le retirer après tout ça. Par contre tu as un autre vilain, ou ses restes. :arrow: Télécharge Gmer. Dézippe le dans un dossier ou sur ton bureau. Double-clique sur Gmer.exe. NB : Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'exécuter. Clique sur l'onglet rootkit/malware (déjà actif). A droite, coche Files et Services uniquement. Clique maintenant sur Scan. Lorsque le scan est terminé, clique sur Copy. Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller. Le rapport doit alors apparaître. Enregistre le fichier sur ton bureau et copie/colle son contenu dans ta prochaine réponse.

Bonjour papyreunion, le rapport ne montre rien d'infectieux. On va tout de même vérifier plus en détail. * Télécharge SmitFraudFix de S!Ri sur le bureau. http://siri.urz.free.fr/Fix/SmitfraudFix.exe * Double-clique sur smitfraudfix.exe * Choisis l'option 1 (pas d'autre sans accord) pour créer un rapport des fichiers responsables de l'infection. * Poste le rapport sur le forum dans ta prochaine réponse. Si process.exe est détecté par ton antivirus ou un autre logiciel, n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il sert à terminer des processus, d'où l'alerte émise par ces antivirus qui y voient un danger potentiel. (doc).

Bonsoir, cela ressemble pus à un problème hardware ou OS qu'à une infection. Il faudrait essayer un liveCD linux qui reconnaisse ce raid (si dispo, ce n'est pas mon domaine). Je bascule ton sujet vers hardware, ça peut être plein de choses. @modos : n'hésitez pas à le renvoyer ailleurs si c'est autre chose.

Comment est-ce que la machine en question se connecte au net ? Réseau filaire (ethernet) vers une box qui fait routeur ?

Bonjour, ton rapport ne met pas en évidence d'éléments infectieux. On peut y regarder de plus près. Télécharge DiagHelp.zip de Malekal_morte sur ton bureau. Décompresse-le, sur ton bureau par exemple. Un nouveau dossier chercher va être créé DiagHelp. Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître) Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée. L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse. :!: Le rapport est sauvegardé dans c:\resultat.txt si jamais tu fermes le bloc notes. Il faudra aller le chercher là sinon, le rapport n'est pas sur le bureau. NB : si un antivirus détecte Troj/INJECT MF ou non approchant choisis "ignorer" c'est une fausse alerte. NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.

Pour antivir et le petit dernier, c'est normal, c'est un fichier infectieux qu'on a viré, là on a son double côté restauration système. Quarantaine, très bien. Je vais te demander un nouveau rapport HijackThis stp.

Bonjour, il vaut mieux passer par le panneau de configuration, car le service ne s'occupe pas seulement du pare-feu de windows, et le désactiver (au lieu de manuel par exemple) peut entraîner des problèmes d'un autre ordre.

"Marrant" ça, - soit vous êtes autonomes et à ce moment là, pas besoin de forums pour raconter que vous allez nettoyer seuls - soit vous avez besoin d'un coup de main, et on peut vous en donner un, mais il faut suivre les conseils :P Dans la première option, je ferme le sujet, sans haine et bonne route. Dans la 2eme option, on ouvre une vraie procédure d'analyse.

+ tard + tard, s'il y a une infection il faut déjà qu'on la voie. pck94, poste un rapport HijackThis s'il te plait dans ta prochaine réponse. Télécharge le sur ton bureau : http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe Double clique dessus pour le lancer et choisis "Do a system scan and save a logfile", un rapport apparaîtra, à copier coller dans ta prochaine réponse.

Bonjour, il faut poster un rapport HijackThis pour y voir plus clair, il donnera toutes ces infos et même plus.

Bonjour, navré d'interrompre, mais désactiver la restauration système ne sert à rien, et peut ne rien donner de bon. Et non ce n'est pas "foutu" après, au contraire. Avast/Antivir, certes, mais s'il y a infection, il faut la traiter d'abord. Et pour ça il faudra déjà un rapport HijackThis, pour traiter tout ça, changer un logiciel ou deux n'est pas désinfecter. Et puis un vrai boulot de nettoyage, aussi. ++

Bonjour, 'sûr ? Non parce que sans rien de plus, ce n'est pas forcément très convaincant, et on ne sait pas du tout si la chose est réellement désinstallée. Habituellement la machine traîne des infections périphériques, qu'on ne peut pas évaluer ici. IL faudrait au minimum un rapport HijackThis pour voir ce qui tourne. Groupez vos posts, en passant, ou éditez pour ajouter quelque chose.

Pour la cause de tes ennuis, ne cherche pas en tout cas : P2P. Le scan d'antivir a buté sur des outils spéciaux utilisés auparavant a première vue (smitfraudfix par exemple) mais ce n'est pas leur place habituelle, est-ce que c'est toi qui les a mis là ? (ce n'est pas un reproche, évidemment). Laisse en quarantaine ce qui s'y trouve pour le moment. Bon réflexe de l'avoir fait sans effacer. Si antivir bute sur quelque chose qui se trouve dans c:\qoobox fais ignorer et dis lui d'aller voir ailleurs (fichiers issus de backups infectieux : normal). Il y a des fichiers datés de 2004, c'est la première installation de l'OS sur la machine ? Enfin, ça doit déjà aller un peu mieux, et tu pourras aller en mode sans échec (inutile de s'y précipiter pour le moment toutefois). Voici la suite des opérations. Ouvre le bloc notes. Copie colle ceci dedans : Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau. Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

LOL au service technique. On va commencer par le shooter, lui. Il y a plusieurs façons là aussi. Ensuite on verra pour windows installer (si ça le fait avec tous). Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte. Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix