Monsieur Furtif

Merci beaucoup pour la précision sur les infections par support amovible. Y a-t-il moyen de lancer un routine de scan à chaque insertion de clé USB par exemple ? Je n'ai pas vu ça dans les options d'Antivir par exemple. - Le fichier Pwdserv n'existait pas. Mais c'est sans doute dû à un fix que j'avais fait au tout début de mon infection, via Hijackthis puisque le fichier me semblait déjà très suspect. - Concernant les mises à jour de Windows, les correctifs ont été téléchargés (il me propose de les installer, que ce soit dans le system tray ou à la fermture). Il y en a 70 mais la première échoue, immédiatement suivie par la totalité des suivantes. Je suppose que ça vient d'un conflit entre les précédentes installations d'update (dont les logs doivent trainer quelque part), et celles qui tentent de se remettre comme si de rien n'était.

Alors, voici le premier rapport : Et la recherche de rootkit : Pour le fichier PwdServ, j'avoue que je n'en sais rien. C'est un ordi pro que j'ai pris en marche et dont je connais pas tout l'historique des installations-désinstallations. J'ai deux petites questions annexes suite à mon infection : - y a-t-il un moyen d'empêcher l'autorun des clés USB pour effectuer une analyse antivirus avant n'importe quelle interaction avec la clé ? - suite au rétablissement de l'OS et des comptes, les mises à jour de Windows se sont remises à zéro, et sont au nombre de 77. Sauf que lorsque je dis que je veux les installer, elles échouent. Je suppose que c'est parce que le notifieur est revenu à zéro mais les précédentes mises à jour sont toujours sur le disque. Ou l'inverse. Comment le savoir et régler ça ? Merci encore de ton aide. Vraiment.

Alors reprenons dans l'ordre : - je n'ai plus mes messages d'erreur grâce à ton script de remplacement de base de registre - Antivir n'a rien trouvé de nouveau, il avait déjà dégagé pas mal de choses - voici le rapport de Sreng

Et j'en ai profité pour installer et scanner avec AntiVir, dont voici le rapport.

Je poste ici les rapports de RegSearch. Mais pour lancer Kaspersky, je me retrouve face à un problème. Lorsque je lancer Internet Explorer (visiblement downgradé à cause de la réparation), je rentre l'URL et ça me renvoie "This file does not have a program associated with it for performing this action. Create an association in the Folder Options control panel." D'autant plus bizarre que cela avait fonctionné à la toute première reconnexion post-réparation. Je vais voir si je peux régler ça... Je te souhaite bien du courage pour déchiffrer tout ça Et merci pour l'aide apportée jusqu'ici.

Voilà le HiJackThis et à la suite, je mets le rapport de Escan que j'ai récupéré en même temps que le compte Le rapport eScan, pour mémoire. J'ai parfois coupé au milieu parce que les valeurs étaient quasiment identique dans le restore.

Alors, aux premières minutes de cette méthode, elle a l'air de fonctionner. J'ai deux messages d'erreur me disant que regedit.exe (dans Windows/) et services.exe (situé dans mon dossier "user/Local Settings/" n'ont pu se lancer, sans aucun doute après la désinfection. As-tu une idée de comment corriger la base de registre afin de ne plus avoir ces messages. D'autre part, je vais encore faire un Hijackthis et je poste ça très très vite.

En parcourant d'autres forums, j'ai trouvé quelqu'un qui avait un problème similaire. Et qui donne cette solution : Mais je me demande bien comment accéder à Regedit, sans avoir accès à un compte Windows valide...

Ca ne marche pas. Puisque en fait, ce n'est pas le secteur de boot qui est en cause mais plutôt le chargement de paramètres des comptes. En gros, il se connecte au compte local, fait même la petite musique d'intro... et se délogue immédiatement pour me ramener au panel de compte initial.

J'ai un gros souci après avoir passé eScan. *Il a bien fait son analyse, a effacé ou renommé des fichiers (j'ai quand même vu passer des autorun.exe et autres fichiers me semblant nécessaires au démarrage d'un système). J'ai redémarré. Sauf que passé le "Bienvenue", le fond d'écran s'affiche, puis plus rien et ça revient sur la page de choix des comptes (avec mon seul compte). Connexion-déconnexion immédiate en somme. Pareil en mode sans échec, que ce soit sur le compte administrateur ou le compte utilisateur. Autant dire que je suis très inquiet.

Allez, hop, c'est reparti pour un tour. Ceci dit, c'est qui m'étonne c'est la récurrence du processus lancé par CAMBO-1.exe, fichier qui a pris le nom de l'ordinateur sur le réseau. D'autre part, en faisant un scan avec Spybot, juste pour voir, j'ai constaté que l'infection Smitfraud était contrôlée et ne revenait plus à chaque démarrage. Mais il reste encore un hijackers récurrent sous forme d'entrée de registre dans le Autorun.exe

* Du courage, j'en ai à revendre. Mais en revanche, le service MsNet Service n'apparaît pas dans la liste des "Services (Local)". Et rien d'approchant ne s'y trouve. Damned

Le rapport ComboFix donne ceci et le rapport Hijackthis des processus lancés au démarrage donne cela :

Voilà le rapport... Et des deux antivirus, un seul a survécu...

Bonjour, alors, voilà, il y a quelques temps, j'ai été infecté par Smitfraud-C.toolbar888, problème résolu ici. Mais sur un poste professionnel, je rencontre un autre problème dû à un Smitfraud récurrent. Spybot retrouve de manière récurrente KillSec, Smitfraud-C., CoolWWWSearch.SmartSearch et CoolWWWSearch.Leftovers J'ai très certainement été infecté par clé USB. Le poste est en réseau. Voilà mes rapports HiJackThis et SmitfraudFix. Vundofix n'a rien donné. J'ai bien essayé de m'en sortir par moi-même, sans résultats. Ci-dessous, en rouge, un fichier malicieux qui prend le nom de l'ordi. Si vous pouvez m'aider... Merci d'avance