Thanos

ok impec La suite => * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: (no name) - {AC716F07-89CE-4A95-8DD0-37C429C263DA} - (no file) O3 - Toolbar: (no name) - {74654569-770F-44c2-BB4C-9323BB8BEC9F} - (no file) O3 - Toolbar: Protection Bar - {74a49269-9779-48b4-a0e6-3a5af2a3ade6} - C:\Program Files\Perfect Codec\iesplugin.dll (file missing) -Ferme tous les programmes et clique sur "Fix Checked" Un petit nettoyage => -Télécharge ATF Cleaner by Atribune sur ton bureau. Double-clique sur ATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox(si tu utilises ce navigateur) Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. * Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci : Ouvre Firefox et clique sur Outils=> Options Clique sur l'onglet Vie Privée clique sur le bouton Vider le cache dans l'onglet "Historique" clique sur le bouton Supprimer les cookies dans l'onglet "Cookies" clique sur le bouton Vider le cache dans l'onglet "Cache" clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix. Reposte un dernier rapport hijackthis après ca

c'est à dire? tu as posté e tu n'as pas reçu de réponse?

ok! je vois que tu es sur le forum de Lavasoft Si j'ai le temps, je posterait un MP à Calamity Jane(Modératrice du forum) pour voir ce qu'elle en pense. A suivre...

salut Dans le souci de te tranquiliser et en attendant l'intervention de l'ami bruce lee : Ne t'inquiêtes pas pour cette alerte de ton antivirus!! Il s'agit d'un point de restauration qui est infecté : cette infection n'est pas active(tant que tu n'utilises pas la restauration système pour revenir à un état antérieur du système!). bruce lee t'expliquera comment t'en débarrasser très facilement. Quant aux objets vérouillés détectés par le scan, c'est normal!! Ce sont des fichiers en cours d'utilisation par le système(ou par des programmes). @+

ok ! à présent fais ceci => Redemarrer l'ordinateur en mode sans echec (au démarrage de l'ordinateur, tapoter F8) Double cliquer sur smitfraudfix.cmd Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers respondables de l'infection. A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu. Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt Poste le rapport option 2 au redémarrage du pc , et lance ce scan en ligne par la suite => Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index ou celui là sinon => Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Poste le résultat pour voir si rien ne subsiste sur ton pc Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Avec ces rapports, poste aussi un nouveau rappport hijackthis stp

salut et bienvenue Télécharge SmitfraudFix de S!Ri sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et choisis "extraire tout" Un nouveau dossier chercher va être créé nommé Smitfraudfix. Ouvre le et double-clique sur Smitfraudfix.cmd Une fenêtre va s'ouvrir, choisis l'option 1 Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post. Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.

salut jam1 Je cherche toujours la raison de cet affichage Ca n'est pas dû à un malware je pense.Est ce que tu te souviens du moment ou ces fenêtres sont apparues? as tu installé un programme avant? Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Je continue la recherche et te dis si je trouve quelque chose. A part ce souci là, le pc fonctionne normalement?

salut Beau boulot JuliJuJU A présent, j'aimerai que tu fasses analyser deux fichiers stp: Lorsque tu cliques sur cette adresse => http://www.virustotal.com/flash/index_en.html tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier RCDSETUP.EXE que tu trouveras en allant dans le dossier C:\WINDOWS\system Tu cliques une fois sur le fichier RCDSETUP.EXE (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour celui là=> C:\WINDOWS\system\regsvr32.exe Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser) Assure toi que le dossier (en gras ci dessous) est vide : c:\Documents and Settings\Gabriel\Local Settings\Temp Passe par Démarrer>Exécuter et tape cmd , pui valide en cliquant sur [ok]. Dis moi si la fenêtre de l'invite de commande s"ouvre normalement (et si elle reste ouverte).Quitte cmd. Ressaie de faire le rapport DiagHelp option 1 stp , si ca ne marche pas ; poste un rapport comme ceci => Télécharge : WinPFind Dézippe-le dans un dossier.(ne le lance pas tout de suite!) * Double-clique sur WinPFind.exe et clique sur "Start Scan" Lorsque le message "Scan Complete" apparait , le scan est teminé . Un fichier nommé"WinPFind.txt" est généré par le scan. Tu le trouvera dans le dossier que tu as créé pour WinPFind copie/colle le contenu ici , dans ta prochaine réponse. @+ tard

Bon allons y pour la suite!Ca a l'air long et compliqué mais ca n'est pas du tout le cas!!c'est juste détaillé! Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure -Dans le champs"Type" en bas de page ,choisis: Page web complète -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: -Télécharge puis installe AVG Anti-Spyware (AVG AS) Une fois AVG AS lancé, clique sur "Mise à jour" Ferme le programme. -Télécharge ATF Cleaner by Atribune sur ton bureau. Étape 1: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" Étape 2: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE -Ferme tous les programmes et clique sur "Fix Checked" Étape 3: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les fichiers (en gras ci dessous)dans C:\WINDOWS: C:\WINDOWS\10523110096.exe C:\WINDOWS\service32.exe C:\WINDOWS\ALCMTR.EXE Étape 4: Double-clique surATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox(si tu l'utilise) Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. * Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci : Ouvre Firefox et clique sur Outils=> Options Clique sur l'onglet Vie Privée clique sur le bouton Vider le cache dans l'onglet "Historique" clique sur le bouton Supprimer les cookies dans l'onglet "Cookies" clique sur le bouton Vider le cache dans l'onglet "Cache" clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix. Étape 5: Relance AVG AS puis choisis l'onglet "Analyse" Puis l'onglet "Paramètres Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine" Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" /!\ Si un fichier infecté est détécté en fin d'analyse /!\ Clique sur "Appliquer toutes les actions " Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous" Enregistre ce fichier texte sur ton bureau. Étape 6: Redémarre normalement et poste: - un nouveau rapport hijackthis. - le rapport d'Avg As - un nouveau rapport DiagHelp Deux fichiers ne sont pas à leur place, Avg devrait s'en occuper s'ils sont infectés. Allez courage , et n'hésite pas à demander en cas de problème

Ne t'excuse pas on comprends très bien Je te poste une procédure, ca va prendre un peu de temps : j'étais en train de faire quelques vérifications!

Edité je regarde tes rapports et te dis ce qu'il faut faire

salut Rien à signaler pour Blacklight! Est ce que tu as conservé le rapport de scan d'Antivir si tu l'as passé? on voit bien les restes d'une infection .Des recherches supplémentaires stp => Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Poste le résultat pour voir si rien ne subsiste sur ton pc Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Télécharge DiagHelp.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout" Un nouveau dossier chercher va être créé DiagHelp Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post. Bon courage

salut nonnosses Merci de faire partager ta soluce J'allais poster un lien vers le forum de Kaspersky ou fredo77 avait le plus de chance de trouver une réponse de connaisseur.

re Merci à liégeois pour les bonnes infos. Quel logiciel te détecte ca?? peux tu poster le rapport? En plus des conseils à suivre de l'ami liégeois, fais ceci stp => Télécharge DiagHelp.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout" Un nouveau dossier chercher va être créé DiagHelp Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître) Une fenêtre va s'ouvrir, choisis l'option 1 L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post. Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Poste le résultat pour voir si rien ne subsiste sur ton pc Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 @+ tard

salut manly Boonty, ce sont des jeux en ligne. Le problème, c'est que depuis peu,leur programme fait partie des indésirables à cause de ceci => http://www.castlecops.com/o23list-1744.html If you don't speack english : D'une part leur programme n'est pas désinstallable via la procédure habituelle(ce qui n'est pas normal!), à savoir : passer par Ajouter/Supprimer des programmes (Panneau de Configuration) ; et d'autre part ils collectent tout un tas d'infos sur ton dos(même si c'est écrit dans leur "Disclaimer", personne ne les lit jamais...): âge, localisation géographique etc.. et ils communiquent en plus ton mail Donc... spyware! Pour virer cette cochonnerie , fais ceci : * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8}] [-HKEY_CLASSES_ROOT\ CLSID\ {5F1ABCDB-A875-46C1-8345-B72A4567E846}] [-HKEY_CLASSES_ROOT\ Interface\ {7B9A715E-9D87-4C21-BF9E-F914F2FA953F}] [-HKEY_CLASSES_ROOT\ TypeLib\ {6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}] [-HKEY_CURRENT_USER\ Software\ IST] [-HKEY_CURRENT_USER\ Software\ ISTbar] [-HKEY_LOCAL_MACHINE\ Software\ ISTsvc] [-HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ IST] [-HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ ISTbarISTbar] [-HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ ISTsvc] [-HKEY_LOCAL_MACHINE\ Software\ y036] [-HKEY_CURRENT_USER\Software\Boonty] [-HKEY_CLASSES_ROOT\boontybox] [-HKEY_CLASSES_ROOT\CLSID\{aa760512-9bd8-4b1b-9e7a-dd9bbe3cf119}] [-HKEY_CLASSES_ROOT\Interface\{AAD65959-3923-4EF9-9B3A-6BAAE8E538E5}] [-HKEY_CLASSES_ROOT\PandoraBoxCtrl.PandoraBoxCtrl] [-HKEY_CLASSES_ROOT\TypeLib\{BB8AC401-701B-4ED1-96BB-B84A0FCF5874}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Boonty] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C23587D9-1415-4042-9B3D-43118A4334C7}_is1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{aa760512-9bd8-4b1b-9e7a-dd9bbe3cf119}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PandoraBoxCtrl.PandoraBoxCtrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PandoraBoxCtrl.PandoraBoxCtrl.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BB8AC401-701B-4ED1-96BB-B84A0FCF5874}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C23587D9-1415-4042-9B3D-43118A4334C7}_is1] -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: remove.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! *Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. * Vas voir après ca dans "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et assure toi que le programme n'y figure plus. Point 32.exe=> Bizarre , je n'ai pas touché à cette ligne => O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" il s'agit bien des pilotes de la la souris. Est ce que tu l'a cochée toi même? dwwin.exe=> c'est normal qu'il se lance ! dès qu'une application a planté, docteur Watson se pointe! Plus d'infos ici (et comment le configurer)=> http://www.zebulon.fr/astuces/astuce-windows-176.html Il est possible qu'il ait aussi eu du mal à se terminer!! juschet.exe=> tu veux dire jusched.exe ? Ca correspond à cette ligne qu'on a coché : O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe c'est le logiciel Java qui fais une recherche de mise à jour : inutile car en passant par Le Panneau de configuration et en cliquant sur l'icône en forme de tasse, tu as possibilité de faire la mise à jour toi même: du coup c'est un processus de moins qui se lance et autant de mémoire conservée. Redémarre ton pc et dis moi si les même problèmes se reproduisent . Ca ca vient d'une mise à jour automatique Windows...ca veut donc dire que tu as fait les mises à jour bonne chose! LE problème des mises à jour, c'est qu'il faut regarder le descriptif, sinon des mises à jour inutiles sont installées... SDK => software development kit (des outils pour les développeurs d'applications et la documentation des interfaces Windows). Tu dois pouvoir le supprimer en passant par Ajout/suppression de programmmes. N'oublie pas de rêgler les mises à jour comme noté plus bas, sinon tu vas toutes les télécharger!! CCleaner est un nettoyeur , c'est un bon logiciel qui nettoie et le registre et les fichiers inutiles. Un bon tutoriel ici => http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm Quant à Regseeker , il est spécialisé dans le nettoyage du registre. Après avoir passé CCleaner et nettoyé le registre , puis que tu passes Regseeker; celui ci trouvera certainement autre chose à nettoyer!! Aussi j'ai par ex deux ou trois nettoyeurs dont l'action conjuguée est plus efficace. Tu peux l'essayer, ca ne consomme pas de ressources et ne prend pas de place. @+

salut JuliJuJU et bienvenue sur le forum Stp, crée un nouveau sujet pour toi: il ne faut pas poster dans d'autres sujets, ca nuit à la compréhension de la discussion en cours. Aussi, crée un nouveau topic et colles y ton rapport , j'y jette un oeil

salut -Aucune précaution particulière pour désinstaller SpySweeper ou AVG AS , ca se fait proprement en passant par "Ajouter/Supprimer des Programmes" via le Panneau de Configuration. Eventuellement un coup de Regseeker pour nettoyer d'hypothétiques traces dans le registre . - Les fichiers infectés mis en quarantine disparraissent à la désinstallation du programme. Mais tu peux aussi vider la quarantaine par les options des programmes si tu veux!(dans l'onglet "Quaranttine" tout sélectionner et éliminer les éléments). -Je ne pense pas que tu puisses retélécharger la version de démo pour SpySweeper : ils s'arrangent pour planquer une clé(ou une valeur) dans le registre qui permet au logiciel de savoir si une version a déjà été installée Sont pas dingue lol! Pour Avg As je ne pense pas que ca pose problème. Ok xipe , repasse quand tu peux avec le rapport

salut Oui, c'est un processus qui appartient à Realtek(carte son) et est considéré...comme spyware Pas méchant, mais il collecte quand même des infos en douce... => http://www.castlecops.com/s180-Alcxmntr_exe.html * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE -Ferme tous les programmes et clique sur "Fix Checked" * Elimine le fichier: C:\WINDOWS\ALCXMNTR.EXE Pour ce qui est de Kaspersky, je ne saurais te répondre...Si liégeois passe par là, il pourra peut être t'en dire plus. (un bug??)Le rapport hijackthis ne montre rien de mauvais à part ca . @+ tard

attend!!! je te refais le fichier reg , il manque quelque chose!! 2 petites secondes * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "LegalNoticeCaption"="" "LegalNoticeText"="" "system"=- "system"="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "legalnoticecaption"=- "legalnoticetext"=- "legalnoticecaption"="" "legalnoticetext"="" -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: rem.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! *Double clique sur le fichier rem.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Après ca tu suis le reste ! Merci à Kimberly

salut Très bien je ne vois plus rien de mauvais dans les deux rapports Non, c'est bien comme ca! ca permet de voir les processus actifs en temps normal. * pour ne pas restaurer un système vérolé en cas de problème,supprime la restauration système=> aide visuelle je vois quelques logiciels p2p dans les programmes installés... je ne peux m'empêcher => Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs: le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492 le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544 Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/ Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/ Tu peux conserver : - ATF Cleaner by Atribune pour nettoyer ton pc (au moins une fois dans la semaine!) - Avg As il ne protègera ton pc que 30 jours, puis il perdra ses fonctions: il reste utile après ca pour scanner et nettoyer le pc! à mettre à jour avant utilisation. Tu peux éliminer Blacklight - Rootkit Revealer - combofix Pour finir tu peux éventuellement faire un scan en ligne : Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Poste le résultat pour voir si rien ne subsiste sur ton pc Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 @+

salut Ok !merci pour les infos. Je vois que tu as éliminé deux valeurs dans une clé du Registre, on va les recréer comme ceci à présent : * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "LegalNoticeCaption"="" "LegalNoticeText"="" -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: rem.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! *Double clique sur le fichier rem.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. *Redémarre ton pc et dis moi si tu vois encore cette boite au démarrage. *Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe Ca va nous permettre de faire une petite recherche d'infection Edgaccess au cas ou... Le problème que tu décris n'est pas de nature infectieuse à mon avis(comme tu t'en doutes). Combien de pc en réseau??Je n'ai jamais entendu parler d'un bug d' Ad-Aware SE qui afficherait des fenêtres au démarrage d'une session , je continue la recherche

salut Tu veux parler de service bancaire en ligne??étrange!!Quel rapport avec le Sp2 ? Ceci dit, si tu ne veux pas télécharger le SP2, il faudra configurer windows update pour ne pas télécharger automatiquement le SP2(sinon c'est ce qui arrivera!). Passe par le panneau de configuration (accessible via le menu ‘Démarrer’)=> Performance et maintenance => Système=> Mises à jour automatiques. Dans la fenêtre qui s'ouvre clique sur le bouton radio "Avertir en cas de nouvelles mises à jour , mais sans les télécharger".(et pas "installation automatique"!) Clique sur "Appliquer" puis "ok". Lorque de nouvelles mises à jour se présenteront,tu verras l'icône de windowsupdate apparaitre dans la barre des tâches et il te suffira de cliquer sur cette icône pour voir le détail des hotfixes s'afficher dans une fenêtre : décoche la ligne qui fait référence au SP2!! et laisse les autres cases cochées.Crosoft qui aime bien son SP2 te collera systématiquement son pack dans les mises à jour à effectuer... Ok,on va fixer quelques lignes sur ce rapport hijackthis, la conséquence c'est que certaines applications ne se lanceront plus au démarrage de Windows:ce sont évidemment des applications inutiles au bon fonctionnement du pc et que tu pourra lancer manuellement si tu en a besoin(ca liberera des ressources!) Si les changement ne te conviennent pas ,tu peux revenir en arrière! * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: IEHlprObj Class - {F62A47A7-4CA3-9D00-95A3-6724d43a9E8C} - LineAudio.dll (file missing) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\compaq\cpqsetup\cpqset.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [RAM Idle] C:\Program Files\Customizer XP\RAM_2K.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) -Ferme tous les programmes et clique sur "Fix Checked" -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:Boonty Games Double clic dessus :dans le champs"Status du service" sélectionne "arrêté" dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok" Quitte les services. -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu copie/colles ceci: sc delete Boonty => clique sur [entrée] Un message t'avertis du succès de l'opération. *Elimine le dossier suivant puis vide la corbeille=> C:\Program Files\Fichiers communs\BOONTY Shared *Redémarre le pc et dis moi si il y a un changement. *Si ca n'a pas été fait depuis longtemps, défragmente ton disque dur si besoin est. *Nettoie ta base de registre avec Regseeker => http://telechargement.zebulon.fr/184-regseeker-145.html son tutoriel => http://www.zebulon.fr/articles/regseeker-1.php Tiens moi au courant

salut Bizarre ce message...Peux tu stp faire ceci? => * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code") : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon regedit /e peek1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" type peek1.txt >> startup.txt del peek*.txt start notepad startup.txt -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: search.bat -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. *Voici ce à quoi doit ressembler l'icone du fichier .bat que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! *Double clique sur le fichier que tu viens de créer : une fenêtre va s'ouvrir et se refermer aussitôt, c'est normal. Poste le contenu du rapport qui vient de s'ouvrir. *Lorsque tu cliques sur cette adresse => http://www.virustotal.com/flash/index_en.html tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier dmcpl.exe que tu trouveras en allant dans le dossier C:\WINDOWS\system32 Tu cliques une fois sur le fichier dmcpl.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser) *Elimine le fichier suivant: C:\WINDOWS\Downloaded Program Files\USDR6V_0001_D08M1005NetInstaller.exe * met à jour ta version de Java : la tienne est la version Java 2 Runtime Environment, SE v1.4.1_04 et la dernière est là J2SE Runtime Environnement 5.0 Update 9. C'est important car ces mises à jour comblent entre autres des failles de sécurité!Pour ca, tu vas sur cette page => http://www.java.com/fr/download/windows_xpi.jsp et tu télécharges puis installe J2SE Runtime Environnement 5.0 Update 9 (Windows (Installation hors ligne)) Ensuite tu passes par Ajouter/Supprimer des programmes( Panneau de configuration) et tu désinstalles celui ci : Java 2 Runtime Environment, SE v1.4.1_04 Une nouveauté: lorsque tu installes la mise à jour, on va te proposer d'installer la Google Toolbar ou/et Google Desktop ! à toi de voir : si tu n'en veux pas ,décoche les cases avant de cliquer sur "suivant". Merci pour l'info pear Pour t'assurer que le parefeu est bien configuré, rend toi à cette page et fais le scan de ports ici (c'est rapide) => http://www.zebulon.fr/outils/scanports/test-securite.php Poste le rapport si des ports sont ouverts. @+

salut L'alerte que tu as reçu est à mon avis dûe au fait que tu n'a pas dézippé la totalité de l'archive . Regarde dans la page suivante, tu vas voir tous les fichiers qui doivent impérativement apparaitre dans le dossier Smitfraudfix pour que ca marche(11 en tout) => http://siri.urz.free.fr/Fix/SmitfraudFix.php Si tu n'as pas d'utilitaire pour décompresser( IZArc par ex) => http://telechargement.zebulon.fr/category-31.html Sinon tu peux utiliser l'assitant windows : Clic droit sur le fichier> Ouvrir avec > Dossiers Compressés > une fenêtre s'ouvre avec le contenu de l'archive > sur le panneau de gauche, clique sur "Extraire tous les fichiers" > l'assistant Extraction s'ouvre > clique sur suivant > dans la première case se trouve l'endroit ou seront extraits les fichiers ( C:\Documents and Settings\ton profil\Bureau\Smitfraudfix ) > clique tout en bas sur "suivant" puis "Terminer" > le dossier s'ouvre automatiquement avec tous les fichiers.Ensuite tu relances l'option 1 Je vais te demander stp deux choses supplémentaires stp : Expédie stp ces deux fichiers => E:\WINDOWS\system32\tmp58.tmp.dll E:\WINDOWS\SYSTEM32\inetmat.dll Pour pouvoir les voir, fais ceci => *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! à l'adresse suivante : http://siri.urz.free.fr/upload/ Dans la case " Lien vers le message du forum où le fichier a été demandé" tu colles l'adresse de cette page. Tu cliques sur le bouton "Parcourir" pour chercher ce fichier sur le disque dur (E:\WINDOWS\system32\tmp58.tmp.dll) et tu cliques enfin sur "Upload". Puis tu refais de même pour le second fichier. Merci Reessaie stp pour le rapport smitfraudfix et poste le (ainsi que le rapport Blacklight)

salut Désolé pour cette réponse tardive Ton rapport hijackthis datant du 06/11/2006 , je vais te demander d'en poster un nouveau stp(les choses évoluent entre temps). Assez bizarrement, Avg n'avait pas détecté certains fichiers infecté trouvés par le scan Panda. Aussi : 1) *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! 2) Elimine les fichiers suivants (en gras ci dessous )=> C:\windows\ABox.exe C:\program files\WinAntiSpyware 2006 Scanner => le dossier C:\install.exe C:\WINDOWS\system32\drivers\uwasfsd.sys Dis moi ce que tu trouves dans ce dossier : c:\windows\system32\SBUtils (est ce que tu y vois SBReg - sbwatchdog - SBWebCtl.dll - SBWebhost ?) 3) Double-clique surATF-Cleaner.exe afin de lancer le programme. Pour internet explorer Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Pour Firefox Sous l'onglet Firefox, choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. * Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci : Ouvre Firefox et clique sur Outils=> Options Clique sur l'onglet Vie Privée clique sur le bouton Vider le cache dans l'onglet "Historique" clique sur le bouton Supprimer les cookies dans l'onglet "Cookies" clique sur le bouton Vider le cache dans l'onglet "Cache" clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix. Relance stp Combofix et poste un nouveau rapport. Fais de même avec hijackthis