Falkra

Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox On nettoie la suite : http://oldtimer.geekstogo.com/OTC.exe Double clique dessus, accepte la confirmation UAC (ou démarre-le en tant qu'admin), et clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux. ----------- Il faut maintenant sécuriser. Tu sembles avoir Adobe reader 7, il faut le désinstaller, et passer au dernier, le 9.2 actuellement : http://get.adobe.com/fr/reader/ (décoche la case pour McAfee avant de télécharger) Un lecteur PDF pas à jour est aussi une porte d'entre pour certaines bestioles. Désinstalle Apple bonjour via ajout/suppression de programmes. Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace. Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644 ---------- Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités. PSI de Secunia peut t'y aider. https://psi.secunia.com/ JavaRa peut t'y aider pour Java : http://raproducts.org/ Et voici un tuto JavaRa Et bien sûr, Windows Updates. Rends toi sur cette page de configuration du plugin Flash. Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours. Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage. Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares. Pour tout savoir sur le plugin flash : la FAQ du plugin Flash Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine. Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) : (clique sur l'image). N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection. Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Reformater n'est pas une solution, pas plus que l'image disque. Si on tombe sur un malware de type password stealer, on peut reformater ce qu'on veut, les mots de passe mail, numéros de série, etc... seront déjà très très loin.

Ok, ça c'est bien. Télécharge MBR Rootkit Detector de gmer et enregistre-le sur le bureau. Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...) Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer, - Un rapport sera généré : mbr.log. Copie/colle le résultat de ce log dans ta réponse.

Fais un double clic pour le démarrer, sans mot de passe admin, il faut bien copier coller ce qui est dans la boite code donnée plus haut (les 4 lignes).

Ok, fais une autre recherche stp, avec "85.255.112.116" (sans les guillemets), même procédure. Ca doit aller.

Ok, impeccable. Ca tourne normalement, maintenant ? Poste un dernier rapport HijackThis stp, et on sécurise un peu. http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

C'est propre. Ca tourne correctement maintenant ?

1. Télécharge The Avenger par Swandog46 sur ton Bureau. Décompresse le fichier avenger.exe sur le bureau 2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre : drivers to disable: H8SRTd.sys drivers to delete: H8SRTd.sys Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. 3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur. Sous "Input Script There", colle le code précédemment copié. Clique sur Execute Réponds "Yes" quand demandé. 4. The Avenger va automatiquement faire ce qui suit: Il va Re-démarrer le système. Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

Ca va aller mieux. Poste un nouveau rapport HiajckThis ou RSIT stp. Rends toi sur ce lien : Virus Total Clique sur le bouton Parcourir... Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves : C:\windows\system32\6A7C5ADF39.sys Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant. Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché. Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page. Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche) Une nouvelle fenêtre de ton navigateur va apparaître Clique alors sur cette image : Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier Enfin colle le résultat dans ta prochaine réponse. NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse. Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes. Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

Ok, poste des rapports pour disk.sys acpi.sys halmacpi.dll ils sont aussi dans C:\Windows\System32 (même procédure donc).

Ha, il y a de la bestiole en tout cas, même avec MBAM à jour ? En tout cas il faudra d'urgence mettre à jour XP, IE (même si pas utilisé), et Java. On fera ça un peu plus tard. Je serais quand même preneur d'un rapport MBAM, à jour (v1.42, base de données 3349 ou supérieur). Recherche rapide, et élimination de ce qui est trouvé.

Si HijackThis se laisse télécharger, oui.

Le fichier : C:\Windows\System32\drivers\Classpnp.sys existe. Tu peux copier coller la ligne pour virustotal, sinon assuyre toi d'avoir affiché les ficheirs masqués (voir tutos).

Voilà qui est mieux. Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer. => combofix espace slasht uninstall Après cela, efface ce dossier s'il existe encore : C:\QooBox ---------- Télécharge OTC sur le bureau : http://oldtimer.geekstogo.com/OTC.exe Double clique sur son icône pour le démarrer. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit. Clique sur le bouton clean up et poste le rapport stp.

CE sera suffisant, j'ai assez de données. Impec. Tu as la nouvelle version d'une bestiole très pénible. 1. Télécharge The Avenger par Swandog46 sur ton Bureau. Décompresse le fichier avenger.exe sur le bureau 2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre : drivers to disable: H8SRTd.sys drivers to delete: H8SRTd.sys Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. 3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur. Sous "Input Script There", colle le code précédemment copié. Clique sur Execute Réponds "Yes" quand demandé. 4. The Avenger va automatiquement faire ce qui suit: Il va Re-démarrer le système. Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal. Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse. --------------- Après ce passage d'Avenger, démarre combofix (instructions au post 6), en mode normal, il ne devrait pas planter cette fois, et poste le rapport stp.

Ha, pas sûr que ça suffise. On va faire une petite vérification. Télécharge et installe regscanner. Lance-le depuis le raccourci du menu démarrer ou du bureau. Ca ouvre une fenêtre "Registry scan options". Dans "Find string" entre "NameServer" sans les guillemets. En bas à droite dans "Scan the following base keys" sélectionne-les toutes, tout doit être grisé. Clique sur ok. Ca cherche. Une fois la recherche finie, fais CTRL+A pour tout sélectionner, puis CTRL+S pour sauvegarder. Sauvegarde un fichier texte sur ton bureau, avec le nom de ton choix. Poste le contenu de ce fichier texte dans ta prochaine réponse stp.

Je te propose d'ouvrir une demande d'analyse dans la section d'à côté, certaines bestioles font ça, et une vérification pourrait faire du bien.

Ok, ça c'est bien. Pas de message d'erreur, rien ?

Tu l'as téléchargé où ? Sur le site officiel ou un miroir fiable ? Certaines infections peuvent bloquer ça, une analyse peut être à faire, éventuellement, d'ici quelque temps.

Ca, c'est un problème d'ordre général, il n'est pas bon qu'un PC chauffe trop, mais tout dépend de la température réelle, un ventilateur qui se déclenche, c'est normal. Si le PC est trop chaud, ce n'est pas bon, mais si c'est dans des proportions normales, aucun problème. Les refroidisseurs logiciels... heu pas vraiment. Si le processeur est récent et bien paramétré, il baisse sa fréquence tout seul quand on ne le sollicite pas, pour consommer moins, et chauffer moins, de toute façon. Pour ton firewall, tu peux très bien garder un programme gratuit, il y en a de bons, sans avoir besoin de payer qui que ce soit. Ca évite de donner son numéro de carte bleue, du coup. Sinon, les banquiers (selon les enseignes) proposent parfois des solutions de "numéros jetables", valables pour une seule transaction. Par contre tout se paie (plus, ou moins), cela dépend des banques et des comptes. Il ne faut pas être parano, ça conduit à installer trop de choses et paralyser la machine. Il faut un antivirus (un seul), un firewall (un seul) et généralement on prend un antimalware à côté, comme MBAM. Léger et rapide, il y a Antivir (disponible en version gratuite et en français), qui est tout à fait recommandé. Tu peux toujours tester en remplacement de MSE. Désinstalle MSE avant d'installer Antivir, si tu veux changer. "Le meilleur" impossible à dire, c'est comme si tu demandes quelle est la meilleure voiture. Pour Antivir voici un lien de téléchargement direct (version en français) : http://dlce.antivir.com/package/wks_avira/...personal_fr.exe Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php

Télécharge SystemLook de Jpshortstuff sur ton Bureau à partir d'un des liens ci-dessous. Miroir de téléchargement #1 Miroir de téléchargement #2 Double-clique sur SystemLook.exe pour le lancer. Clic droit|Copier le contenu du cadre ci-dessous et clic droit|Coller dans la zone texte de SystemLook : :filefind *classpnp* *acpi* *disk.sys* *halmacpi.* Clique sur le bouton Look pour démarrer l'examen. A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse. Nota Bene : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

On nettoie. Double-clique sur smitfraudfix.exe Choisis l'option 5 contre les détournements de DNS. Aux questions posées par le programme répondre O (oui) pour effectuer les nettoyages et désinfections proposées. Le fond d'écran peut être supprimé. Poste le rapport sur le forum dans ta prochaine réponse.

Bonjour, Le temps de scan dépend du remplissage du disque dur : plus il y a de fichiers à analyser, plus c'est long. 2h n'est pas un temps anormal, pour un disque dur complet.La chaleur vient du fait que le disque dur est sollicité, donc il chauffe plus. Cela se ressent particulièrement sur les ordinateurs portables. Par contre, c'est valable pour n'importe quel antivirus. Comment se présente le problème ? Ils devraient cohabiter.

Stop avec OTM. Télécharge SmitFraudFix de S!Ri sur le bureau : http://siri.urz.free.fr/Fix/SmitfraudFix.exe Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version. Double-clique sur smitfraudfix.exe Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection. Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt") Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

Je me demande si tous les onglets de root repeal plantaient ?