Thanos

salut Le dernier rapport montre que les fichiers infectés ont bien été nettoyés Juste une petite chose à fixer > Stp rend toi sur cette page afin de télécharger le fichier search.bat > http://www.sendspace.com/file/d41nx1 pour cela, clique sur le lien en bas de page > Download Link: search.bat Double clique sur le fichier et poste le rapport. Comment fonctionne ton pc ?

salut brob57, zonk, Désolé pour la réponse tardive! Ceci dit, le rapport ne présente rien d'infectieux Une chose à faire > 1) Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes : O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKUS\S-1-5-18\..\RunOnce: [sRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [sRUUninstall] "C:\WINDOWS\System32\msiexec.exe" /x {6AF90EF6-F7F9-466C-99F4-1774826FBB40} /qn REBOOT=ReallySuppress (User 'Default user') O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/098109753b578ca6aa06/...RdxIE601_fr.cab -Ferme tous les programmes et clique sur "Fix Checked" 2) Il faut télécharger et installer la dernière version de Java qui corrige des failles de sécurité! Passe par cette page > http://java.com/fr/download/ Installe Java Runtime Environment Version 6 Update 3 lorsque tu installes la mise à jour, on va te proposer d'installer la Google Toolbar ou/et Google Desktop ! à toi de voir : si tu n'en veux pas, décoche les cases avant de cliquer sur "suivant". Passe par Ajouter/Supprimer des Programmes et désinstalle > Java 2 Runtime Environment, SE v1.4.1_02 Tu peux éliminer les fichiers Diaghelp.zip et C:\upload_moi_NOM-DOWNCO0B3WU.tar.gz ainsi que le dossier DiagHelp. @+

salut Voilà la suite > Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/mu8myh pour cela, clique sur le lien en bas de page > Download Link: CFScript Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt Poste moi le rapport stp

ok, il reste des fichiers infectés à éliminer: on va attendre le résultat du scan en ligne pour tout virer en même temps. Tu reçois des alertes de BitDefender alors que tu l'as désactivé ? @ toute

salut et bienvenue Est ce que tu as lancé deux fenêtres d'Internet Explorer ? On voit la présence de l'adware CID > c'est lui qui affiche des pubs lors de tes surfs. Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier iexplore.exe 2 fois (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. 1) Redémarre le PC, impérativement en mode sans échec. Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur la touche [Entrée]. Choisis ton compte usuel, et non Administrateur. En images ici > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm 2) Démarre Hijackthis, clique sur "Do a system scan only", et coche les lignes suivantes : O4 - HKCU\..\Run: [bait admin] C:\DOCUME~1\ADMINI~1\APPLIC~1\CAMPJU~1\Help Wait Test.exe -Ferme tous les programmes et clique sur "Fix Checked" 3) Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! 4) Elimine le dossier suivant > C:\Documents and Settings\Administrateur\Application Data\CAMPJU~1 Note: le nom n'est pas complêt dans le rapport mais tu verras un dossier dont le nom commence par CAMPJU > élimine le. 4) Vide la corbeille, puis redémarre ton pc. 5) Fais le scan suivant > Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte. A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip > ferme cette fenêtre ! Appuie une dernière fois sur une touche > le rapport va s'afficher: poste le. @+

salut, liraz, tu n'a pas posté l'intégralité du rapport DiagHelp! Gof en a besoin pour l'analyse. Tu trouveras le rapport en question dans le répertoire C:\ et il se nomme resultat.txt > poste tout son contenu. bon succès @ vous deux

salut Ok merci pour le rapport de BitDefender : comme tu peux le constater, il ne voit qu'une partie de l'infection! en atteste la détection faite sur le registre par ex > Il y a des clés de registre infectées! par ailleurs BitDefender ne voit pas tous les fichiers à éliminer! Donc fais la manip avec ComboFix, ca va bien nettoyer et on verra ce qu'il reste après ca

est ce que tu as reçu une alerte de ton antivirus pendant les manipulations ? désactive BitDefender temporairement le temps du scan et rééssaie stp

ok Bacter : pense à me poster le rapport pour voir si tout s'est bien déroulé, tu le trouvera sur ton bureau et il se nomme > cleanavi.txt

Bon bah comme tu peux le voir sur ce rapport...PromoRemover.exe a oublié pas mal de choses....! WebMediaPlayer est toujours là et l'infection bien présente. Ne t'inquiête pas parce qu'il ne s'agit pas d'une grosse infection De plus on va éliminer le tout en quelques clics > Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider. Au menu principal, choisis 2 et valide. Le fix va t'informer qu'il va alors redémarrer ton PC Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même) Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message : Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver. Referme le bloc note. Ton bureau va réapparaitre

ok merci pour le lien Bacter On peux faire quelques vérifications sur ton pc pour t'assurer que l'infecton est bien absente. Pour cela, poste le rapport de Navilog comme indiqué dans le message de bruce lee plus haut : j'y jetterai un oeil.

salut Tu as oublié un rapport Désactive l'UAC dans un premier temps comme montré ici > http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html Effectue ensuite la manipulation décrite plus haut avec Navilog, puis poste le rapport généré stp.

salut, Est ce que tu aurais un lien vers le sujet en question ? Si tu as le moindre doute quant à la désinfection de ton pc, on peux faire quelques vérifications

salut abousimbel , je te prie de m'excuser car je n'avais pas vu ta réponse... Etant donné que ton dernier message date du jeudi 27 décembre, j'aimerai que tu me dises si tu comptes continuer la désinfection Pour rololo88 > rololo88, détrompe toi.... il y a de multiples lancements depuis la base de registre et pas seulement celui auquel tu fais allusion (à savoir les clés Run que l'on retrouve sous msconfig ) Faux!! Il est toujours actif... rololo88, au vu des actions que tu as effectué pour nettoyer le pc, je te conseille fortement de te créer un sujet sur le forum. Pourquoi ? d'une part, parce que tu ne vas certainement pas tarder à voir le malware repointer son nez, et d'autre part, parce qu'un malware ne vient jamais seul... @++

salut Il y a un programme indésirable sur ton pc! Est ce toi qui a installé Microsoft Security Adviser? Passe par le panneau de Configuration > Ajouter/Supprimer des Programmes et désinstalle le. Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes : R3 - Default URLSearchHook is missing O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe O4 - HKLM\..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe O4 - HKLM\..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe O4 - HKLM\..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe O4 - HKLM\..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe O4 - HKLM\..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe O4 - HKCU\..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe O4 - HKCU\..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe O4 - HKCU\..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe O4 - HKCU\..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe O4 - HKCU\..\Run: [Microsoft security adviser] C:\Program Files\Microsoft Security Adviser\mssadv.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} - -Ferme tous les programmes et clique sur "Fix Checked" Il faut télécharger et installer la dernière version de Java qui corrige des failles de sécurité! Passe par cette page > http://java.com/fr/download/ Installe Java Runtime Environment Version 6 Update 3 lorsque tu installes la mise à jour, on va te proposer d'installer la Google Toolbar ou/et Google Desktop ! à toi de voir : si tu n'en veux pas, décoche les cases avant de cliquer sur "suivant". Passe par Ajouter/Supprimer des Programmes et désinstalle toutes les anciennes versions que tu possèdes dont la version Java Runtime Environment 1.4.2_05 Fais un scan en ligne > Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054 Il faut choisir Full Scan (et pas QuickScan) > Poste le rapport qu'il t'affichera à la fin. Note 1: Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast avant de commencer ce scan > tu le réactiveras à la fin après avoir sauvegardé le rapport. Pour cela, clique sur le bouton "Pause" avant de commencer le scan > Note 2: Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 Poste le rapport de Panda ainsi qu'un nouveau rapport hijackthis.

salut Poste stp les deux rapports suivants > 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 2) Télécharge navilog1 de IL-MAFIOSO Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau. Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisse-toi guider. Au menu principal, choisis 1 et valides. (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : Appuie sur une touche comme demandé, le bloc note va s'ouvrir. Copie-colle l'intégralité dans une réponse. Referme le bloc note. Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) @++

salut et bienvenue Tu es allé le déterrer loin ce topic...! Au risque de te contredire, il n'y a pas plus simple et efficace que navilog de IL-MAFIOSO pour nettoyer cette infection > c'est un outil spécialement dédié à navipromo/magic control agent: son utilisation ne prend que quelques secondes et il traite à la fois les éléments installés dans la base de registre ainsi que les fichiers créés par l'adware. Si tu reçois du spam par la suite, ne t'étonne pas! On a pour coutume de ne pas utiliser les désinstalleur fournis par ceux qui véhiculent des infections....par manque de confiance certainement @+ Edit: une personne a utilisé le "fameux" PromoRemover.exe, ca n'a pas fonctionné manifestement... > http://forum.zebulon.fr/index.php?showtopic=137147 Pour ceux qui liront ceci, n'utilisez pas ce programme dont l'origine est douteuse.

salut Rien à signaler sur ce rapport. Une petite précision: tu as effectué le rapport hijackthis en mode sans échec ? refais le mais en mode normal stp. Quelle était l'infection rencontrée ?

salut Si tu n'as pas encore formaté le pc, fais ceci car je sens la présence d'un baggle dans l'air...> 1) Clique ICI pour télécharger le fichier d'installation d'HijackThis : Enregistre HJTInstall.exe sur ton bureau Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis Accepte la license en cliquant sur le bouton "I Accept" Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte. A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip > ferme cette fenêtre ! Appuie une dernière fois sur une touche > le rapport va s'afficher: poste le. @++

salut et bienvenue Le rapport que tu as posté ne montre rien de mauvais : tu as effectué la procédure de prénettoyage, Antivir as t'il détecté quelque chose ? La DEP apporte plus de problème qu'elle n'en empêche! Il arrive parfois qu'elle soit à l'origine de crash... Pour la désactiver totalement, effectue la manipulation décrite ici > http://www.pcastuces.com/pratique/windows/xp/1488.htm Ensuite, afin d'en voir plus, fait ceci > Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php Ne lance que l'option 1 et poste le rapport stp. Notes: lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur Agree Tu va certainement reçevoir une alerte du parefeu te demandant si tu acceptes que le processus sigcheck.exe puisse se connecter à internet > accepte. A la fin du scan tu sera dirigé vers la page de l'auteur afin d'expédier le fichier c:\upload_moi_xxxxx.zip > ferme cette fenêtre ! Appuie une dernière fois sur une touche > le rapport va s'afficher: poste le. @+

salut roberoubar Je te dois des excuses parce que j'ai un peu oublié le sujet...! Il y a encore du boulot! on va continuer comme ceci stp, car, malheureusement, aucun antivirus ne fera le travail correctement ! 1) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/qxrxfw pour cela, clique sur le lien en bas de page > Download Link: CFScript Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Une fois le scan achevé, un rapport va s'afficher: poste son contenu. Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt 2) Clique sur le lien suivant > ESET Online Scanner Link Coche la case YES, I accept the Terms Of Use Clique sur le bouton Start Clique ensuite sur le bouton Install Clique sur Start Le scanner va se mettre à jour. Ne coche pas la case Remove found threats Clique sur le bouton Scan Le scan va se lancer: soit patient. Lorsque le scan s'achève, clique sur le menu Details Copie/colle le contenu du rapport généré: il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt courage Edit: Ne passe pas d'autre outil, car les solutions antivirus/antispyware actuelles ne traitent pas l'infection comme il faut! Est ce que tu pourrais me poster le rapport de BitDefender si tu as ?

salut à vous deux Pas d'inquiêtude pour le rapport Panda: il est clean! Ce que tu vois comme détection est en fait un faux positif : à ignorer donc. Dans le message suivant > http://forum.zebulon.fr/index.php?showtopi...t&p=1157065 le rapport DiagHelp n'est pas complêt! Tu le trouveras dans le répertoire C:\ et il se nomme resultat.txt > poste en l'intégralité stp @++

re! Pour le "virus" trouvé par Avast, il y a de forte chances qu'il ait détecté des composants installés lors du scab Panda. S'agit il de Win32.CTX ? si c'est le cas, c'est ce qu'on nomme un faux positif : un élément est considéré comme présentant un risque potentiel, mais il n'en est rien. Pour ce PWS.LDPinchle, il s'agit certainement de traces trouvées par Sybott dans le registre Windows : rien de méchant donc. Tu peux éventuellement me poster le rapport de Spybot > il se trouve ici > C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs .Le rapport à poster se nomme Fixes 080110(date du jour) ...txt

salut, Ok le dernier rapport est bon. Pour information, je te conseille de remplacer Avast par Antivir qui est plus performant. Lis ce comparatif très clair pour comprendre > http://forum.malekal.com/ftopic3528.php Tu n'est pas obligée d'installer Antivir bien sûr, mais il assure une meilleure protection comme tu auras pu le lire. Si tu décides de passer à Antivir, lis ce topic pour les manipulations > http://forum.malekal.com/ftopic4192.php Tu n'as pas répondu à mes question ? > @+

salut, Le rapport ComboFix montre que l'outil a été lancé plus d'une fois...et qu'un script a déjà été prescrit! Une petite recherche et hop! > http://forum.telecharger.01net.com/telecha...messages-1.html étant donné que ca ne semble pas avancer assez vite pour toi, et surtout par respect pour le travail de l'ami IL-MAFIOSO, le topic suivant sera clos. Continue sur le sujet que tu as ouvert et suis bien les recommendations d'IL-MAFIOSO. Evite à l'avenir de poster sur deux forums en même temps: tu mobilises du monde, et les résultats sont faussés... @++