Falkra

Ca semble ok. Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections IAT/EAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

Désinstalle SweetIM, problèmes de confidentialité, fait partie des logiciels indésirables. Si tu veux alléger un peu le démarrage, on peut empêcher à certains programmes de démarrer automatiquement. Ca ne les empêchera pas de fonctionner en les lançant manuellement par la suite. Note que ces lignes ne sont pas infectieuses et parfaitement légitimes, il ne s'agit que d'une petite optimisation (qui ne divisera pas par 10 le temps de chargement, loin de là). si ça te tente, relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche : Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa Et bien sûr, Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Télécharge OTMoveIt (OTM) par OldTimer. Enregistre ce fichier sur le Bureau. Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur). Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier): :processes explorer.exe :files C:\WINDOWS\msa.exe C:\DOCUME~1\ST-GEN~1\LOCALS~1\Temp\c.exe C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job C:\zip.exe C:\cleanup.exe C:\cleanup.bat C:\WINDOWS\msa.exe C:\WINDOWS\System32\sshnas.dll :reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NPSStartup"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ZagrebLand"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler] :services STEC3 PCANDIS5 catchme GMSIPCI IntelIde iPod Service :commands [emptytemp] [start explorer] Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller. Clique sur le bouton rouge Moveit!. Ferme OTMoveIt3 Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure) Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

Les AV ne peuvent pas s'opposer aux failles de sécurité des logiciels comme Adobe Reader. Si Kaspersky énumère les mises à jour à faire (en intégrant un module de Secunia), ce n'est plus du ressort d'un antivirus.

Justement, je crains qu'il soit impossible de comparer les antivirus et solutions de sécurité. Cf. première partie ici : http://www.libellules.ch/idees_recues_logiciels.php Si la scan à la demande est débile, les indices comparatifs et les critères peuvent l'être tout autant.

Bonjour, vérifie le disque dur, et mets à jour Antivir, ça peut venir de plein de choses.

Pas de problème, regarde ici, au post 3 (vers la fin) : http://forum.zebulon.fr/comment-participer...rum-t98948.html

Re. Poste les rapports RSIT quand ils seront prêts.

Ok, pas de problème, fais à ton rythme et quand tu peux, en fonction des contraintes. Je surveille le sujet, sans oublier qu'on a tous une vie à côté, bien sûr. A demain alors.

Ta bestiole s'attrape essentiellement dans des cracks... comme beaucoup de bestioles de ce type. Ca ne veut pas dire que tu l'as eu dans un crack, bien sûr, mais le tout, c'est d'en avoir conscience. Protèger sa machine est aussi une (longue) affaire d'apprendre à l'utiliser et faire bien attention aux menaces. N'hésite pas à poser des questions.

Voilà qui peut répondre à une question de danneb13, sur le pourquoi des conseils de tel ou tel antivirus : pour l'utilisateur qui n'a pas d'alerte de son antivirus, il faut que ce soit parce qu'il ne fait pas n'importe quoi de sa machine, et non parce que l'antivirus ne détecte pas les indésirables qu'il devrait trouver. On parle de 0 day lorsqu'un Exploit est disponible avant la protection adéquate. Si la protection n'est pas encore disponible, il est logique que les programmes échouent, d'où l'importance de la réactivité des équipes côté antivirus et autres programmes, critère qui n'est pas souvent pris en compte en dehors de conseils sur les forums.

Désinstalle Apple Bonjour par ajout/suppression de programmes. On nettoie la suite, télécharge OTC d'Old Timer : http://oldtimer.geekstogo.com/OTC.exe Démarre-le par clic droit exécuter en tant qu'administrateur, et clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux. Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa Et bien sûr, Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). Plus d'infos dans la FAQ sécurité du site. N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Tu peux faire une copie d'écran stp ? Ne modifie rien si tu n'es pas sûr.

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé. Double-clique sur RSIT.exe afin de lancer RSIT. Clique Continue à l'écran Disclaimer. Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport.

Si tu as eu "Gmer hasn't found any system modification", c'est qu'il n'a rien trouvé, ce qui est bon signe. Tu peux supprimer gmer.

Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files - Clique sur le bouton "Download EXE" - Sauvegarde-le sur ton Bureau - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur. - Ferme les fenêtres de navigateur ouvertes - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ; - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO" - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes : Sections IAT/EAT **Assure-toi que "Show All" est décoché** - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +) - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ; - Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ; - Copie/colle le contenu de ce rapport dans ta réponse.

C'est impeccable. Poste un dernier rapport HijackThis (clic droit exécuter en tant qu'administrateur pour le démarrer), on sécurise la machine, et on termine.

Ok, c'est bon, on continue. Je vois trois interfaces réseau sur ta machine : A) Intel® PRO/1000 MT Desktop Adapter B) VIA Rhine III Fast Ethernet Adapter C) Realtek RTL8185 54M Wireless LAN Net Voici la suite : * Aller à Démarrer --> Paramètres --> Connexions réseau * Double cliquer sur "Connexion au réseau local" ou une des trois interfaces ci dessus (A, B ou C) * Cliquer sur Propriétés * Sélectionner "Protocole Internet (TCP/IP)" * Cliquer sur Propriétés * Si en bas "Obtenir les adresses des serveurs DNS automatiquement" n'est pas coché, lire les adresses IP. Si tu vois 85.255.112.116 remplace par 212.27.40.240 et si tu vois 85.255.112.157 remplace par 212.27.40.241 et refais poru les trois interfaces réseau, en validant et appliquant les choix. Ca a cette tête là, fais ça en vérifiant l'onglet DNS aussi, il peut y avoir plus de deux DNS dans la liste : Plus de copies d'écran : http://www.libellules.ch/panne_dns.php

Ok on verra ça juste après. # Démarre RegScanner depuis le raccourci du menu démarrer ou du bureau. Ca ouvre une fenêtre "Registry scan options". # Dans "Find string" entre "85.255.112.116" sans les guillemets. # En bas à droite dans "Scan the following base keys" sélectionne-les toutes, tout doit être grisé. # Clique sur ok. # Ca cherche. # Une fois la recherche finie, fais CTRL+A pour tout sélectionner, puis CTRL+S pour sauvegarder. # Sauvegarde un fichier texte sur ton bureau, avec le nom de ton choix. # Poste le contenu de ce fichier texte dans ta prochaine réponse stp.

Bonjour, bienvenue. Si jamais tu as besoin de quelques infos ou dun peu d'aide pour retrouver tes posts : Comment participer à un forum Retrouver ses messages Le rapport indique que tu utilises un proxy, es-tu au courant de ça, l'as-tu choisi toi-même ? De même, ton fichier hosts sert à joindre directement google et Microsoft, est-ce toi qui a mis ça en place aussi ? --------- FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux. -> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements. -> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe -> Une fenêtre de commande s'ouvre et affiche quelques informations générales. -> Laisse faire l'outil jusqu'à affichage de "Recherches terminées. Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée]. -> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes. Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt. -> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé. -> Ferme le Bloc-notes et attends les instructions du Conseiller. FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.

Ok, ça me va, et c'est bon ça ! Plus du tout de symptômes ?

C'est à copier dans la recherche de regscanner, pas de ton navigateur ! Comme au post 18.

De rien, n'hésite pas à intervenir en cas de difficultés pour cette partie.

La recherche est à effectuer avec RegScanner, là je ne vois pas de quoi tu me parles en fait.

Passe à IE8 (bien plus rapide, plus fiable, plus récent), même si tu ne l'utilises pas pour le surf : http://www.microsoft.com/windows/internet-...er/default.aspx Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa Et bien sûr, Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Il faut passer au SP3 de windows XP. (lien) Puis passer par windows updates régulièrement. Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).