Tibonhomme

Bonjour Cha-cil, Ta prise en charge en désinfection n'est pas terminée. Thanos ne t'a pas encore libéré. Cordialement

Bonjour Khamsin, Le simple fait d'ouvrir le lecteur correspondant à la clé USB infectée, rien de plus, peut suffire à contaminer l'ordinateur. Tout dépend du type d'infection. A vérifier pour ton cas. S'il te plaît, pourrais-tu copier-coller le rapport d'analyse d'Antivir dans lequel on voit cette infection ? Eh bien, ton système n'est vraiment pas à jour, ce qui ne l'en rend que plus vulnérable. A te lire

Bonjour temacine, C'est avec plaisir que nous t'aidons, ou tentons de t'aider devrais-je dire. C'est ce qui est troublant : 2 systèmes sur une même partition. D'après ce que tu disais, tu choisis le boot sur le système dépendant de C:\Windows\. Hors à regarder le rapport HijackThis, les processus système en fonctionnement sont ceux de C:\Win\System32\. Il faut donc croire que ces processus sont maintenant absent de C:\Windows\System32\ ou que tu n'as plus de dossier System32 dans C:\Windows\. Très étrange. Et ce qui me surprend encore plus, c'est que l'installation du SP3 semble s'être déroulée normalement! Je rebondis sur ceci : Tu disposes d'un cd XP original, ou est-ce le cd que tu as créé et dont tu parles ici : Soit c'est un vrai cd de restauration créé avec un utilitaire spécifique à ton portable, et il contient effectivement tout ce qui est nécessaire à la réinstallation du système à l'état d'origine. Soit c'est un cd sur lequel tu as simplement gravé une copie de C:\, qui ne peut donc aucunement servir à réinstaller XP. Pour faire simple et rapide : pratiquement tout en règle générale; du moins, bien souvent, suffisamment pour que les procédures de désinfection n'aboutissent pas. Je regarderai ton sujet de désinfection en détail. Pourrais-tu, s'il te plaît, copier le rapport de l'analyse en ligne du fichier Icon.exe ? A te lire

Bonsoir, Alors ça, ce n'est pas banal! Je comprends mieux ces bizarreries. Désolé si mes questions ont pu sembler un peu brutales, mais il faut savoir que les outils couramment utilisés ne sont valables que pour une version légitime et complète d'un OS Windows. Les utiliser sur un OS non légitime serait faire courir le risque de planter définitivement le système (sans parler de l'aspect illégal de l'OS, c'est une autre histoire). Là nous nous trouvons devant un autre cas de figure. Il n'est pour le moment pas question de fixer quelque ligne que ce soit avec HijackThis dans ces conditions. Il va falloir que je cherche plus avant pour cette histoire de dossier C:\WIN. Etait-ce une méthode préconisée par Pear ? Je supposes que tu ne disposes pas du cd original de Windows puisque celui-ci était pré-installé. TU as peut-être juste une partition de restauration. As-tu un outil de restauration en configuration usine (ou celui-ci a-t-il été zigouillé par Virut) ? Merci de l'indication du traitement par Pear de l'infection par Virut. Tu dois être une des rares personnes à t'en être sortie sans formater. Je vais rechercher et regarder attentivement le déroulement de cette intervention pour essayer de comprendre. Edit : je viens de voir ton sujet concernant Virut. D'après ce que j'ai lu, tu as donc créé de toi-même un dossier C:\WIN. Je vais creuser un peu plus (sans garantie). A plus tard

Bonsoir, OK. Ceci dit, curieux ces lignes commençant par : Ce devrait être normalement : C:\Windows\System32\ Ce système n'a pas été modifié ? Regarde dans le répertoire C:\, le dossier s'appelle WIN ? Est-ce que tu as un fichier qui s'appelle C:\WIN.LOG ? Pour Icon.exe, je suis plus réservé. Pas beaucoup d'info sur ce processus avec cette orthographe exacte. En revanche icon.exe est lié à l'infection RapidBlaster, mais le processus se trouverait alors dans un dossier dans C:\Program Files, pas dans C:\Windows\System32\drivers Rends-toi sur la page de Virus Total : http://www.virustotal.com/fr/ Clique sur Parcourir... Recherche ce fichier : C:\WIN\system32\drivers\Icon.exe Clique sur Envoyer le fichier Si tes outils de sécurité réagissent à l'envoi du fichier, ignore les alertes Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant (Reanalyse file now) Un message va s'afficher (n'interromps pas l'analyse en cours) : Si le fichier est mis en file d'attente en raison d'un grand nombre de demandes d'analyses, patiente. Ne réactualise pas la page Lorsque l'analyse est terminée un message s'affiche : Clique sur Formaté (en haut à gauche) Une nouvelle fenêtre apparaît. Clique sur l'image bleue avec les 2 flèches Clic droit sur la page / Sélectionner tout / Copier Colle le rapport d'analyse dans ta prochaine réponse, quel que soit le résultat du rapport. A te lire

Bonsoir temacine, fifi29, Ce système Windows, d'où vient-il ? Des lignes ne sont pas correctes pour un Windows XP SP3 normal. @+

Bonsoir sharleen*, Désinstalle Secure Login. On essaie ceci : * Clic droit sur la dernière version ici : http://downloads.mozdev.org/securelogin/ * Puis Enregistrer la cible du lien sous... / choisis le Bureau * Double-clique sur le fichier .xpi. Si Windows te demande avec quel programme ouvrir, choisis Firefox * Il te demandera à installer Secure Login, laisse toi guider. Redémarre Firefox. Alors, que cela donne-t-il ? @+

OK, on va tenter de résoudre le problème Secure Login. Démarre Firefox. Menu Outils / Modules complémentaires / onglet Extensions Clique sur Secure Login 0.9.3 Clique sur Désactiver Redémarre Firefox Même chemin que précédemment Clique sur Secure Login 0.9.3 Clique sur Désinstaller Redémarre Firefox Ferme Firefox Pour visualiser les fichiers et dossiers cachés : Double-clique sur Poste de travail / onglet Outils / Options des dossiers / Affichage Coche la case Afficher les fichiers et les dossiers cachés Décoche les 2 cases Masquer les extensions des fichiers dont le type est connu et Masquer les fichiers protégés du système d'exploitation (recommandé) - une fenêtre va s'ouvrir, confirme Puis clique sur Appliquer puis OK. Tu pourras revenir à l'affichage standard en exécutant les opérations inverses. Rends-toi dans ce dossier : C:\Documents and Settings\Ton nom d'utilisateur\Application Data\Mozilla\Firefox\Profiles\......default\Extensions Supprime ce dossier si présent : secureLogin@blueimp.net Redémarre l'ordinateur. Démarre Firefox. Menu Outils / Options / onglet Vie privée Coche Vider l'historique lors de la fermeture de Firefox Puis clique sur Paramètres Coche les 6 cases dans la fenêtre du haut Puis clique sur OK puis encore OK Redémarre Firefox. Télécharge ATF-Cleaner par Atribune : http://www.atribune.org/index.php?option=c...5&Itemid=25 ATF-Cleaner est un utilitaire de suppression des fichiers temporaires inutiles, caches et historiques de navigation. A conserver et à utiliser quotidiennement ou après chaque navigation. C'est un exécutable, il ne nécessite pas d'installation. Double-clique sur ATF-Cleaner.exe (sous Vista, clic droit / Exécuter en tant qu'administrateur) Onglet Main, coche Select All Clique sur Empty Selected puis OK lorsque l'opération est terminée. Si tu utilises Firefox : Clique sur Firefox en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Clique de nouveau sur sur Empty Selected puis OK lorsque l'opération est terminée. Si tu utilises Opera : Clique sur Opera en haut et coche Select All Clique sur Empty Selected Remarque : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite, cela décochera la case concernée Clique de nouveau sur sur Empty Selected puis OK lorsque l'opération est terminée. Clique sur Main puis sur Exit. Rends-toi à cette page : https://addons.mozilla.org/fr/firefox/addon/4429 Si tu as un bloqueur de scripts Java, autorise la page de façon temporaire. Clique sur Ajouter à Firefox et procède à l'installation. En espérant que cela fonctionne (je croise les doigts). A te lire

Re, Aucun souci, je ne me formalise pas, et j'avais bien compris que, de ta part, c'était plutôt un oubli. Si cela semble fonctionner, tant mieux. Tu pourras également effectuer quelques modifications du registre en fixant certaines lignes inutiles dans HijackThis: entrées de démarrages inutiles, 1ère ligne R1 qui pointe vers une page d'erreur. Je suppose que tu as volontairement restreint l'accès à certaines options d'IE : A bientôt

Re, Oui, j'ai vu par les recherches que cela correspond à OPENDNS, je voulais juste être sûr que c'est volontaire. OK, je comprends mieux. Dis-nous si MBAM suffit. Cordialement

Merci pour le lien. Au fait, tu ne possèdes aucun lecteur-graveur de CD ? Ton lecteur n'est pas en même temps graveur ? Curieux! Ce n'est pas ta machine habituelle ? @+

Bonjour Wullfk Ta version de MBAM est obsolète, nous en sommes à la version 1.45, base de données 3976 au moment de ce message. Tu n'as pas permis à MBAM de supprimer cette clé, est-ce volontaire ? Tu peux suivre la procédure ci-dessous (va directement à l'étape de la mise à jour) : Télécharge Malwarebytes' Anti-Malware (MBAM) en version gratuite (Download free version) : http://www.malwarebytes.org/mbam.php Si tu possèdes déjà le logiciel, passe à la mise à jour. Si le téléchargement, l'installation ou l'analyse ne fonctionne pas, signale-le. Ce logiciel, très efficace en analyse à la demande, est à garder. La version payante apporte en plus un module résident avec protection contre des IP malveillantes, et les mises à jours automatiques. En cas de problème de mise à jour au paragraphe suivant, télécharger directement les mises à jour ici : http://mbam.malwarebytes.org/database/mbam-rules.exe Connecter tous les supports amovibles utilisés (clés usb, disques durs externes, MP3 etc...) avant de lancer l'analyse. La mise à jour est à effectuer systématiquement avant chaque analyse avec la version gratuite. Double clique sur le fichier téléchargé pour lancer le processus d'installation (sous Vista -Windows 7, lancer MBAM par clic droit / Exécuter en tant qu'administrateur) Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour, si le pare-feu demande l'autorisation à MBAM de se connecter, accepte Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche Sélectionne Exécuter un examen complet Clique sur Rechercher L'analyse démarre, elle peut demander du temps, cela est normal A la fin de l'analyse, un message s'affiche : Clique sur Ok pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse. Au cas ou tu fermes MBAM trop rapidement, le rapport se trouve dans l'onglet Rapports/Logs, nommé par la date et l'heure. Si MBAM demande à redémarrer le pc, fais-le. Ne pas vider la quarantaine de MBAM sans avis (des faux-positifs peuvent y avoir été placés). Au vu du rapport HijackThis, il y a effectivement quelques soucis. Nous verrons si MBAM répare cela. Connais-tu ces adresses IP ? Ce sont des adresses aux Etats-Unis. Voici ce que donne la recherche sur chacune : http://www.robtex.com/ip/208.67.222.222.html http://www.robtex.com/ip/208.67.220.220.html @+

Bonjour temacine, Là, tu es en train de prendre des risques : Il ne faut jamais installer HijackThis dans un dossier temporaire. Je pense que thorgal a dû oublier de te préciser ce point. J'espère que tu n'as fixé que les 3 lignes avec les mentions (no file) ou (file missing) indiquées par thorgal (celles-là, pas de problème). Retourne dans Msconfig et recoche tout ce que tu as décoché du démarrage. Redémarre l'ordinateur. Tu as pu supprimer des drivers utiles au fonctionnement de ton ordinateur. Une fois que ceci sera effectué (et uniquement s'il n'y a que les 3 lignes de fixées), supprime HijackThis. Si tu as fixé d'autres entrées : Lance HijackThis Clique sur View the list of backups Coche les lignes fixées Clique sur Restore (à droite) Ferme HijackThis Redémarre l'ordinateur Télécharge HijackThis (Téléchargez le programme d'installation de HijackThis): http://www.trendsecure.com/portal/fr/tools...ckthis/download L'enregistrer sur le bureau. Double-cliquer sur l'installateur (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) Installer dans C: (pas dans un dossier temporaire). Par défaut c'est : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe A la fenêtre d'avertissement, accepter Double-cliquer sur HijackThis.exe pour le lancer (sous Vista, clic droit / Exécuter en tant qu'administrateur) Cliquer sur Do a system scan and save a log file Le rapport est généré dans une fenêtre Bloc-notes qui s'ouvre Copier-coller l'intégralité du rapport dans ton prochain message (si tu ne le retrouves pas il est ici : C:\Program Files\Trend Micro\hijackthis.log) A te lire

Bonjour MoiBeber, Ce message est-il arrivé à la suite d'un téléchargement et/ou d'une installation de programme ? Tu dis "était", je suppose que tu n'as plus ce .exe présent ? Désolé, je me suis mal fait comprendre. Je voulais juste que tu m'indiques quelques éléments en quarantaine. Pas grave. Nous allons faire un petit examen complémentaire. Double clique sur l'icône MBAM (sous Vista -Windows 7, lancer MBAM par clic droit / Exécuter en tant qu'administrateur) Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour, si le pare-feu demande l'autorisation à MBAM de se connecter, accepte Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche Sélectionne Exécuter un examen complet Clique sur Rechercher L'analyse démarre, elle peut demander du temps, cela est normal A la fin de l'analyse, un message s'affiche : Clique sur Ok pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. Ferme tes navigateurs. Si des malwares ont été détectés, clique sur Afficher les résultats. Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse. Au cas ou tu fermes MBAM trop rapidement, le rapport se trouve dans l'onglet Rapports/Logs, nommé par la date et l'heure. Si MBAM demande à redémarrer le pc, fais-le. Ne pas vider la quarantaine de MBAM sans avis (des faux-positifs peuvent y avoir été placés). @+

Bonjour Khamsin, N'importe quel support de stockage interne ou externe peut infecter un ordinateur. Les infections par clé USB sont très répandues. D'autre part, une application n'a pas besoin d'être installée pour provoquer une infection. Pourquoi désactiver ton antivirus ? Quel est le message exact d'Antivir ? Quel est ton système d'exploitation, s'il te plaît ? Cordialement

Bonjour sharleen*, Comme tu reçois des alertes et par acquis de conscience envers les internautes pouvant se trouver dans la même situation, j'ai supprimé le lien dans mon message. Peux-tu également, s'il te plaît, supprimer le lien dans ton message précédent (celui-ci pointe vers la même page) ? Les messages d'avertissement ne peuvent être montrés par un lien, il faut une capture d'écran. Vois si tu peux te faire graver le cd par quelqu'un de ton entourage, ou utilise la version avec disquette si tu a un lecteur (ce n'est plus très courant aujourd'hui sur les machines pré-assemblées). @+

Bonsoir sharleen*, Aucun message de mon antivirus sur ce site ou les liens indiqués à l'intérieur (y compris java script autorisé), je viens de tester. Je ne vois pas d'où tu pourrais avoir une alerte. @+

Bonsoir sharleen*, Bonne chose, et en même temps cela signifie que ce peut être aléatoire, comme un composant physique en train de lâcher. Le code erreur indiqué par l'observateur d'évènements relève une erreur dite "sérieuse" et cause de l'arrêt du système, mais trop vague pour identifier réellement la cause exacte. Effectue un test de ta RAM pour voir si par hasard une barrette n'est pas en cause. Tutoriels ici, par ordre antichronologique : Edition : suppression du lien Par vin-moi : http://www.depannetonpc.net/fiches-pratiqu...al-memtest.html Par Anthony : http://www.vulgarisation-informatique.com/memtest.php Par Falkra : http://www.libellules.ch/phpBB2/tester-la-...t86-t15091.html Réalise des tests de tes barrettes une à une, avec des passes d'au moins 1 heure pour que cela soit concluant. @+

Bonsoir MoiBeber, Si tu as suivi les bons conseils et exécuté toutes les suppressions et mises à jour que t'a indiqués Thanos, je ne vois pas ce que je pourrais te faire faire de plus, ce serait même plus que présomptueux de ma part. A mon avis ton ordinateur fonctionne parfaitement bien maintenant, non ? Je ne vois pas de quel logiciel tu parles. En revanche tu peux supprimer, dans les exceptions du pare-feu, tout ce qui concerne Emule, BitTorrent et μTorrent (applications P2P). @+

Bonsoir MoiBeber, Rends-toi dans les Options de Windows Live Messenger et Skype et désactive le démarrage automatique avec Windows. En lancement automatique, ces applications consomment inutilement des ressources, il est d'autre part souhaitable que tu les démarres lorsque tu en as besoin, tes contacts et les internautes en général n'ont pas besoin de savoir quand exactement tu utilises ton ordinateur. Messenger Plus Live! : As-tu pensé à refuser l'installation du sponsor au moment de l'installation de l'application ? Je pense car je ne vois pas la toolbar associée, ou peut-être l'as-tu désinstallée. Le message d'autorisation avec Firefox (comme un message de l'UAC ?), tu l'as toujours, ou était-ce seulement un message relatif à l'installation d'une mise à jour (Firefox lui-même ou un module complémentaire) ? Le jeu que tu as téléchargé, est-ce sur cette plateforme : gPotato.eu ? As-tu toujours le .exe qui pose problème sur ton ordinateur et si oui quel est le chemin exact s'il te plaît ? Qu'y-a-t-il dans les quarantaines de McAfee et de Malwarebytes'Anti-Malware ? @+

Bonsoir sharleen*, Plus d'écran bleu ? Regardons de plus près dans l'observateur d'évènements si par hasard il y a une information exploitable : - Clic droit sur Poste de travail / Gérer - Clique sur le [+] à gauche d'Observateur d'évènements dans la fenêtre gauche - Clique sur Applications et agrandis la fenêtre pour voir lisiblement toutes les informations - Rechercher un message d'erreur en rapport avec l'arrêt de l'ordinateur dans la fenêtre droite (réfère-toi à l'heure si tu t'en souviens) - Une fois ce message trouvé, double-clique dessus - Clique sur le bouton à droite avec les 2 pages (cela enregistre le rapport d'erreur complet dans le presse-papier - colle le rapport d'erreur dans ton prochain message s'il te plait. Effectuer la même opération dans Système. Ne me copie pas tous les messages d'erreur s'il te plaît, uniquement celui en relation directe avec l'arrêt brutal. @+

Bonsoir zoubinou69, OK, merci de la précision. Ton système n'est absolument pas à jour, mais ce n'est pas pour le moment le point primordial : D'autre part, je vois que tu utilises le P2P, rien de mieux pour attraper une infection. Je t'invite à consulter cet article : Les risque sécuritaires du Peer To Peer par Gof : http://www.libellules.ch/phpBB2/les-risque...nts-t28947.html ------ Edit : au fait, une interrogation personnelle : Cela, c'est OK : Mais ça ? D'où cela sort-il ? ------ De toute façon, ton ordinateur est infecté. Je te conseille de créer un message dans l'autre section, Analyse rapports HijackThis, Eradication malwares ici : http://forum.zebulon.fr/start-new-topic-f51.html N'opère aucune modification par toi-même, attends d'être pris en charge par un membre de l'équipe Sécurité. Sois patient, il y a pas mal de demandes en ce moment. Copie-colle ce rapport ZHPDiag et indique le lien vers ce sujet. Bonne continuation

Bonsoir jef71, Malwarebytes'Anti-Malware est un outil d'analyse à la demande, en version gratuite. La version payante apporte en plus une protection résidente (qui tourne donc en tâche de fond) avec un module de blocage d'adresses IP malveillantes et des mises à jour automatiques. Pas très étonnant que tu aies des problèmes sur la toile, vu ce que tu installes sur ta machine : Un court extrait du CLUF (Contrat de Licence Utilisateur Final en français, EULA en anglais) : Edifiant! Contrat complet ici : http://wwww.clixsense.com/about.php?view=agreement Ce n'est pas forcément suffisant comme nettoyage. Afin de s'assurer que ton ordinateur est parfaitement propre, je te conseille de créer un message dans l'autre section, Analyse rapports HijackThis, Eradication malwares ici : http://forum.zebulon.fr/start-new-topic-f51.html Important : les rapports générés avec l'outil ci-dessous sont à copier-coller dans le nouveau sujet à l'adresse ci-dessus, et non à la suite de ce message. Télécharge Random's System Information Tool (RSIT) de random/random : http://images.malwareremoval.com/random/RSIT.exe Double-clique sur RSIT.exe afin de lancer RSIT (sous Vista - Windows 7, clic droit / Exécuter en tant qu'administrateur) A l'écran Disclaimer, clique sur Continuer Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera. Accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Copie-colle le contenu de log.txt (affiché à l'écran) puis celui de info.txt (réduit dans la Barre des Tâches) dans ton prochain message. Si ces fichiers sont trop longs, mets-les dans 2 messages successifs. Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit N.B. : pour sélectionner tout le texte une fois dans le rapport texte, appuie sur les touches [Ctrl] + [A], puis clic droit / copier. une fois dans ton nouveau message sur le forum, clic droit puis coller à l'endroit où tu veux coller l'intégralité du texte. Au cas où - tutoriel installation et génération des rapports RSIT : http://aide-malware.forumactif.net/tutorie...ol-rsit-t29.htm Copie-colle à la suite le rapport d'analyse de Malwarebytes'Anti-Malware, il se trouve dans l'onglet Rapports/Logs, nommé par la date et l'heure (en principe le dernier à la fin). Indique le lien vers ce sujet. Bonne continuation

Re, D'après ce qui est indiqué, un souci de pilote. Nous allons voir ce qui provoque cet écran bleu (probablement un problème matériel ou de pilote). Télécharge WhoCrashed de Resplendence (Download free home edition) : http://www.resplendence.com/downloads Enregistre-le sur le bureau et installe-le. Lance l'analyse. Copie-colle le rapport dans ton prochain message. @+

Bonsoir sharleen*, Ce module complémentaire doit être actif. Réactive-le dans Internet Explorer. Si tu as des difficultés, vérifie dans le paramétrage de Norton : * Que la fonction Auto-Protect est activée * Que l'activation se fait au démarrage de Windows * Que l'activation est permanente. @+