JumpingJack

Titre édité ... et encore merci !

Je vais sagement supprimer GMer que je n'aurais de toute façon pas utilisé sans indication avisée J'ai juste noté sur l'onglet Services de GMer un service "catchme" associé à \??\C:\ComboFix\catchme.sys (ComboFix que j'ai pourtant désinstallé comme tu me l'as indiqué). A toi de me dire si je peux demander sa suppression (l'option m'est proposée par GMer en clic droit). Plus d'alerte depuis l'intervention de ComboFix, et le sentiment d'avoir un système propret qui est très agréable ^^ Oui, oui ça tourne maintenant apparemment sans soucis. Et je te remercie pour tout le temps que tu m'as consacré et l'attention constante que tu as montré !

Patché exécuté et Scan GMer réexécuté sur Registry uniquement. Voici le rapport généré : seules les 3 clés incriminées ont disparues

J'ai renouvelé le check GMer sur Registry uniquement (ayant refermé la fenêtre entre temps) Le soucis, c'est que lorsque je clique droit sur l'une ou les trois de ces lignes, je ne vois pas proposé l'option "Delete key" (en fait, je n'ai pas d'actions proposées sur l'onglet "Rootkit/Malware") Dois je supprimer ces entrées manuellement dans la base de registre ?

Bonjour Falkra, et désolé pour ce délai à ma réponse Le check GMer a été particulièrement long : démarré vers 20h, il tournait toujours à 3h30 lorsque j'ai eu l'occasion pour la dernière fois de vérifier l'état d'avancement (j'ai laissé le PC allumé cette nuit pour permettre à GMer de terminer son check). Résultat, le PC avait redémarré le matin ... sans qu'il soit possible d'avoir une trace des résultats des travaux de la nuit :s J'ai donc relancé GMer, en ne cochant que les options Processes, Registry et Services (le check des fichiers est justement le point pénalisant pour le temps de traitement, vu leur nombre) Voici le rapport généré : J'ai par ailleurs procéder à la désactivation de la restauration système, pour la réactiver ensuite après redémarrage.

J'ai installé les deux addons NoScript et CookieSafe en mode liste blanche pour Firefox, en attandant d'éplucher le dossier très interessant que tu as proposé pour sécuriser Firefox. Je pense que ça sera déjà un minimum appréciable pour éviter de retomber sur un site piégé (je pense que c'est ce qui a du se produire). A commencer peut être par StripMyRights qui, si j'ai bien compris, devrait interdire à Firefox l'accès aux répertoires vitaux de Windows comme system32 Je n'ai pas encore aborder cette partie. Si j'ai bien compris, la désactivation des points de restauration va purger les points de sauvegardes (dont éliminer avec eux les éventuels virus qu'ils contiendraient ?) Le check de GMer a été un peu long, et n'a pas encore produit son rapport. Je le posterai dès qu'il sera dispo.

Bon, pas fier, y a des cochonneries qui doivent trainer depuis un moment (vu qu'il y a un bail que je n'utilise plus les produits concernés). Je pense qu'il sera facile de tirer la chasse Voici le rapport AntiVir : Par contre, je constate en regardant le paramétrage : qu'il va peut être falloir que je paramètre plus finement pour une nouvelle analyse

Je ne sais pas où tu as vu ça, mais il est vrai que j'avais tenté de bloquer l'annoncement qui prend tout l'écran à l'affichage Peine perdue, le programme associé à cet affichage est téléchargé à chaque mise à jour de la base virale ComboxFix désinstallé (plus d'icone sur le bureau après la commande) Plus de répertoire C:\QooBox (pas eu à l'effacer) AntiVir mis à jour en version 2009 (oui, je sais, j'ai tardé à le faire ) L'installation vient d'aboutir après un scan préalable recommandé Je viens de lancer le check complet ... pas sur qu'il ne se limite qu'à C:\ :s Rendez vous ... un peu plus tard ... pour le rapport

Ca a été un ptit peu long que prévu parce que j'ai profité de la remise d'aplomb du système pour autoriser Windows à effectuer la mise à jour suspendue depuis 2 jours. Au redémarrage, rien à signaler : plus de braviax, plus d'alerte AntiVir Voici le rapport HijackThis généré : Je me pose quand même la question de savoir comment me protéger d'une prochaine infection. Elle m'est tombée sans prévenir alors que je surfais sur Firefox (que je ne m'attendais pas à être un vecteur de propagation de cochonneries depuis un cache internet). Peut être un truc dormant qui s'est activé sans raison apparente ?

Oki, je te fais ça de suite Je te remercie en tout cas pour cette prise en main impressionnante pour sa rapidité et son efficacité !!!

J'ai juste suivi la prescription du docteur ... j'ai pas de mérites ^^ Répertoire C:\PC_Antispyware2010 supprimé (envoyé au broyeur) Fichier C:\SmitfraudFix.exe supprimé (même punition) Il faudrait que je reboot peut être, pour m'assurer que les choses indésirables ne se manifestent plus ? Sinon oui, depuis le reboot généré par ComboFix et l'émission de son rapport, pas de trace de la sale bestiole braviax, ni alerte AntiVir ou WinPatrol Rien de plus à faire alors ? Je reboot pour voir ?

Hmmm ... j'ai en fait juste supprimer les programmes d'installation de SmitfraudFix et VundoFix (et désinstaller SpyBot Search & Destroy). ComFix s'est occupé du reste. J'ai donc renommé ComboFix.exe en svchost.exe et fait glisser CFscriptA.txt dessus comme indiqué. L'opération s'est déroulé comme précédemment, sans heurs et apparemment efficacement. Voici le rapport généré après reboot effectué par ComboxFix : en fait, je viens de me rendre compte que svchost.exe est redevenu ComboFix.exe sur le bureau ?!? Je n'avais peut être pas oublié de le renomer finalement ... il s'est renommé de lui même ??? A noter que braviax.exe n'est plus actif dans les processus annoncé par le gestionnaire de tache. AntiVir réactivé, pas d'alerte ... ça parait déjà mieux ^^ Je reste sagement dans l'attente de nouveaux diagnostics que tu jugeras bon de me faire effectuer

J'ai fait le ménage des programmes dernièrement récupérés pour analyse préalable (et qui se sont avérés assez peu efficaces). Ce faisant, je me suis rendu compte sur le bureau qu'il y a une opération que je n'ai pas faite : C'est ComboFix.exe (non renommé) que j'ai exécuté ... c'est grave Docteur ? Ceci dit, il semble avec fait son travail jusqu'au bout sans frémir ... Je l'ai renommé pour éviter toute difficulté, en espérant que ça ne gêne pas l'exécution du script CFscriptA.txt ... Pour le coup, c'est AntiVir qui a couiné parce que on essayait d'accéder à beep.sys : j'ai déactivé AntiVir, relancé repar.bat : 3 fichiers copiés Je passe à l'étape 3), la plus délicate ... (gloups) à tout de suite, si tout va bien

Merci Falkra pour l'impressionnante rapidité de cette prise en charge ! J'ai suivi le mode d'emploi de Combofix.exe que tu as indiqué. Voici le rapport fournit à la suite du reboot (j'ai pris le parti d'inactiver AntiVir une fois la session ouverte pour éviter d'éventuelles interférences avec ComboFix. J'ai par ailleurs retrouver braviax.exe dans les processus actif, que j'ai terminé par le gestionnaires de taches à l'issue de la génération du rapport de ComboFix. J'attend sagement la prochaine étape

Bonjour, Je suis confronté depuis le 13/08 au soir avec un virus qui semble bien coriace. Les symptomes se caractérisent par une alerte d'AntiVir sur les fichiers : C:\Windows\system32\dllcache\figaro.sys C:\Windows\system32\wisdstr.exe C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\3EG1KEFA\Install[1].exe et la présence de braviax.exe dans les processus actifs. J'ai tenté de suivre les premiers soins décrit par un sujet similaire (http://forum.zebulon.fr/petite-infection-t166156.html), mais jusqu'alors sans grand succès. J'ai dans un premier temps mis en oeuvre Malwarebytes' Anti-Malware (MBAM) : Le scan repère bien braviax.exe, mais pas figaro.sys, ni wisdstr.exe La suppression de la sélection trouvée par MBAM amène à un reboot ... qui me ramène dans la même situation que précédemment : - alerte AntiVir sur figaro.sys / wisdstr.exe / Install[1].exe - présence du processus braviax en mémoire De manière à ne pas être constamment alerté par AntiVir, j'ai pris le parti de terminer ce processus à l'issue de chaque redémarrage. J'ai par ailleurs WinPatrol (Free Edition) de BillP Studios installé, qui régulièrement m'envoit une alerte pour m'informer qu'un processus tente d'ajouter Regedit à la base de registre sur : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Je me sens vraiment démuni face à cette infection récalcitrante, ne sachant quels outils utilisés ni comment les utiliser efficacement. Voici pour une première analyse du problème les rapports générés : 1ère analyse complète, effectuée en mode sans échec : 2ème analyse mené aujourd'hui en mode normal : Et après suppression de la liste : Analyse HijackThis, effectuée en mode normal : Je vous remercie par avance pour l'aide que vous pourrez m'apporter pour tenter d'éradiquer la bête J'espère que ce premier jet pourra vous permettre d'envisager une marche à suivre