Falkra

Bonjour, Il y a du travail à faire. Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux. Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs). Assure toi que tous les programmes sont fermés avant de commencer. Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message). Double-clique combofix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le. On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final. Le bureau disparaît, c'est normal, et il va revenir. Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie-colle ce rapport dans ta prochaine réponse. Le rapport se trouve dans : C:\Combofix.txt (si jamais). Tu peux voir ces opérations dans le guide officiel (seul autorisé) : Un guide et un tutoriel sur l'utilisation de ComboFix

Ce n'est pas grave, c'est un reste d'infection qui se trouve dans la restauration système : tel quel il est inactif, donc c'est bien de l'avoir supprimé, et ça n'indique pas que le système était réinfecté. SI tu désactives et réactives la restauration système, ça purge tout : on perd tous les points de restauration (autant en créer un après), mais ça vide les possibles restes inactifs. Voici un tuto si la manip t'intéresse : Comment désactiver ou activer la restauration du système de Windows XP - Portail francophone d'informatique - libellules.ch

Supprime RSIT, et le dossier c:\RSIT Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. PSI - Consumer - Products JavaRa peut t'y aider pour Java : RaProducts - Products Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Nullos non, et puis, tu fais ce que tu veux, on n'est pas obligé non plus de passer 18h par jour à étudier ça. Mozilla, très bien.

OK, je te MP une procédure pour me l'envoyer, ensuite on fait le ménage.

Je m'en doute, et ça vaut mieux, mais i lfaut absolument mettre à jour IE quand même. Antivir est parmi les plus légers des antivirus...

J'aurais besoin des échantillons de fichiers infectieux, peux-tu localiser un fichier ZIP dans C:\_OTM\MovedFiles ?

Très bien pour les mises à jour. Si tu as des questions, je surveille le sujet, donc je verrai tes posts.

On a dit IE, mais si ça a marché, c'est bien. Tout tourne normalement, plus de messages d'erreur ?

Quel est le message ? Est-ce que Internet Explorer était bien fermé au moment de faire l'opération ? (il le faut)

Si tu ne l'as pas, télécharge HijackThis 2.0.4 Clique sur ce lien pour télécharger HijackThis 2.0.4 : HijackThis - Trend Micro USA Prends la version exécutable. Double-clique sur l'icône HijackThis (si tu es sous Windows Vista ou Windows 7, démarre HijackThis par clic droit, exécuter en tant qu'administrateur) : HijackThis démarre, clique sur le bouton "Scan" et laisse-l'outil travailler un instant. Coche ceci et clique sur le bouton "Fix checked", en bas à gauche : Ca nettoiera les restes inactifs. Ca tourne mieux là ?

Doublon fermé. A utiliser plutôt la prochaine fois, ce topic dédié http://forum.zebulon.fr/on-ma-oublie-t176922.html

Bonjour, on ne voir rien d'anormal dans ton rapport, si ce n'est la machine très vulnérable, des mises à jour s'imposent. -------- Si tu utilsies Spybot (même désinstallé, si tu n'as pas fait cette manip, ça reste), essaie de désactiver la vaccination de Spybot. Pour cela, suis ces instructions : Ferme tes navigateurs. Lance Spybot S&D, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche : Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination. Confirme si demandé. Ferme Spybot. Vois si cela améliore les choses. -------- Il faut passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. Passe à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf : http://www.microsoft.com/windows/internet-explorer/default.aspx --------- Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage). Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace, par ailleurs le support utilisateur est efficace et réactif, comme il doit l'être pour un logiciel de ce type. Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel : avast! Utilitaire de Désinstallation Au besoin en mode sans échec, si ça rouspète vraiment (rarement nécessaire toutefois). Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/win32/fr/pecl/avira_antivir_personal_fr.exe Tuto Fr sur la version 9 française : Tuto Antivir 9 français - libellules.ch --------- Pour une examen rapide : télécharge Malwarebytes' Anti-Malware (MBAM) Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme. Si tu l'as déjà, passe au point 2 directement (mise à jour). Double clique sur le fichier téléchargé pour lancer le processus d'installation, puis démarre MBAM. Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". Sélectionne "Exécuter un examen rapide" Clique sur "Rechercher" L'analyse démarre. A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche : Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse. NB : Si MBAM te demande à redémarrer, fais-le. Pour récupérer le rapport de MBAM si tu as redémarré un peu vite, démarre MBAM et va dans l'onglet log/rapports, tu pourras double cliquer dessus (ils sont datés) pour le poster. --------- Pour la connexion, si ça ne donne rien, ouvre plutôt un topic dans la section Internet/Réseaux du forum.

La machine est propre d'après le rapport. Si combofix n'a pas été désinstallé, entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up! Supprime RSIT, et le dossier c:\RSIT USBFix tu peux le virer à la main. De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement. Pour comprendre les infections par clés USB, ce qui a touché ta machine, je te recommande ce document : http://forum.zebulon.fr/infections-par-supports-amovibles-t131959.html Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware. Site officiel : Malwarebytes C'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande. Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. PSI - Consumer - Products JavaRa peut t'y aider pour Java : RaProducts - Products Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres. Et bien sûr, il y a Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Désinstalle SpyHunter, dans un premier temps viua ajout/Suppression de programmes. Il faut mettre Internet Explorer à jour, là tu as IE6, qui est très vulnérable. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées : il suffit d'aller sur une page piégée pour télécharger et installer automatiquement un malware, sans ton accord. Passe à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf : http://www.microsoft.com/windows/internet-explorer/default.aspx Ensuite poste un nouveau rapport HijackThis stp. Ca avance bien.

@ BAsphet, déjà dit 50 fois, on est dans * Forums Zebulon.fr * > Forums de Zebulon.fr * > Sécurité * > Analyses et éradication malwares http://forum.zebulon.fr/faq-fonctionnement-de-la-section-t158392.html Tout est bien expliqué, notamment les permissions pour prendre en charge ou intervenir dans des sujets dans la section désinfection du forum. Merci d'avance. Seul le groupe sécurité, qui est formé et spécialisé, intervient pour aider dans les sujets de cette section. Déjà averti plusieurs fois. Un peu de vacances, maintenant.

Poste un rapport HijackThis dans ta prochaine réponse stp. Clique sur ce lien pour télécharger HijackThis 2.0.4 : HijackThis - Trend Micro USA Prends la version exécutable. Double-clique sur l'icône HijackThis (si tu es sous Windows Vista ou Windows 7, démarre HijackThis par clic droit, exécuter en tant qu'administrateur) : HijackThis démarre, clique sur le bouton "Scan" et laisse-l'outil travailler un instant. Clique sur le bouton Save log et choisis de sauvegarder le fichier rapport (HijackThis.log) sur ton bureau. Copie-colle le contenu du fichier rapport (hijackthis.log) dans ta prochaine réponse.

Oki, bien. Poste un nouveau RSIT stp, ça va aller mieux, logiquement.

Bonjour, ce n'est pas imputable à une infection, c'est un problème à traiter plutôt dans la section software.

Je passe beaucoup trop de temps sur le PC, et j'ai envie de savoir comment ça marche. Là tout marche correctement ? (on n'a pas fini, ne pars pas, mais le plus gros est fait)

On continue. Ce qui suit est seulement pour le PC de weelife, ne faites pas sur le vôtre (et lire les procédures des autres, ça n'apporte pas grand chose, en réalité) ! Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Windows Vista ou 7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes :files C:\Program Files\SGPSA C:\Program Files\mipony-plugin C:\Program Files\Ecosia C:\Program Files\Ask.com C:\Program Files\Fast Browser Search C:\Users\Mikael\AppData\Roaming\Mipony :reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- "FBSSA"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19CF34C1-1F8E-4d1d-8A66-9B5DC9A0401C}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{90d46c30-9f25-4104-aea9-35c3f84477ff}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{C8F48FC8-3CA1-42B9-8609-F75D7C8B4493}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{90d46c30-9f25-4104-aea9-35c3f84477ff}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{C8F48FC8-3CA1-42B9-8609-F75D7C8B4493}] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "DLD.EXE"=- [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] :commands [zipfiles] [emptytemp] [start Explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Teste avec un autre clavier, la touche CTRL pourrait être coincée.

Je parle du PC du tout début, et là c'est clean. Ca tourne bien ? Tape ceci dans menu démarrer, exécuter : sc delete a3m7u02g

C'est normal, on a à peine commencé. Redémarre si pas déjà fait depuis MBAM, et poste un nouveau RSIT stp, il ne fera qu'un rapport, c'est normal.

Bonjour, on va regarder ça. Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Si tu es sous XP, double-clique sur RSIT.exe afin de lancer RSIT, pour Windows Vista ou Windows 7, démarre-le avec droits administrateur (clic droit, exécuter en tant qu'administrateur), en réglant le mode de compatibilité sur XP, dans les propriétés (clic droit, propriétés). Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.