Thanos

salut Le fichier Hosts a bien été piraté! on va donc l'éliminer tout simplement, puis le recréer: Met à la corbeille le fichier Hosts fichier VIR Ouvre le bloc-notes et copie-colle ce qui suit : (seule la dernière ligne est nécessaire, les # sont des commentaires) -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "C:\WINDOWS\system32\drivers\etc\hosts " -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: Hosts -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. Note: Vérifie que le fichier s'appelle bien Hosts et non pas Hosts.txt Ok n'oublie pas de lancer l'option3 de Smitfraudfix(juste celle là) . Après ca, pour sécuriser, fais ceci => Télécharge Ie-spyad2 d'Eric L. Howes: Lorsque tu double cliques sur le fichier téléchargé, ca ressemble à ca=> tu cliques sur la case "unzip" et la totalité de l'archive sera dézippé automatiquement dans le dossier : C:\ie-spyad2 (13 fichiers en tout).Tu ouvres ce dossier,et tu double cliques sur le fichier ie-ads.reg. Voilà ! normalement tu reçois un message te demandant si tu veux ajouter le contenu de ce fichier dans le registre:il faut cliquer sur "yes"(ou "oui").Tout simple mais très efficace! @+ tard

salut Très bon boulot lukatch le rapport hijackthis est propre et celui généré par DiagHelp aussi ! Une ligne à cocher dans hijackthis: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O16 - DPF: {43331111-1111-1111-1111-611111195622} -Ferme tous les programmes et clique sur "Fix Checked" Elimine le fichier suivant => C:\WINDOWS\switchagreement.txt Ton fichier Hosts a été piraté , peux tu stp me poster son contenu ? => C:\WINDOWS\system32\drivers\etc\hosts Ouvre le fichier Hosts en double cliquant dessus=> un message apparait demandant quel programme utiliser pour lire le fichier : choisis le "Bloc Note". Ne poste qu'une partie du fichier si il est trop long! Des infos sur le site de tesgaz pour comprendre ce qu'est un fichier Hosts => Le fichier Hosts et la sécurité * Supprime la restauration système(pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=>aide visuelle) @+ EDit: est ce que tu as bien utilisé l'option 3 de smitfraudfix pour effacer les sites de confiance et sensibles?

salut dj jul , on peux t'aider bien sûr, mais il faudrait que tu crées ton propre message pour ca Poste un rapport hijackthis dans ton propre message comme ceci => Télécharger la dernière version d'HijackThis Installation et utilisation d'HijackThis=> Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Renomme le fichier HijackThis.exe en scan.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste Arrêter tous les programmes en cours et fermer toutes les fenêtres Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran. - Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse. Pour ouvrir une nouvelle discussion, tu cliques sur le bouton "Nouveau" en haut à droite à la page suivante => http://forum.zebulon.fr/index.php?showforum=51 et tu mets un titre explicite qui résume ton problème. Ajoute avec ton rapport une description des problèmes rencontrés. wawazedor , tu as formaté? dommage!! quoiqu'il en soit, j'espère que tu as installé ton antivirus + parefeu avant d'aller sur le net ! Pense stp à mettre [résolu]dans ton titre (en éditant ton premier messsage édition=>édition complête) @+

re! j'ai bien l'impression que si... tu m'a remis les anciens rapports hijackthis et DiagHelp!! poste en de nouveaux que je puisse voir ou tu en est stp - fais un nouveau rapport DiagHelp - un rapport hijackthis comme ceci => Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici après ca, profite en pour faire un scan ici => Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

salut baboucheboy , bienvenue sur le forum Commence par faire ceci pour débusquer Conhook => Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo Clique sur le bouton Scan for Vundo Lorsque le scan est complété, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". Après ca, poste un rapport comme ceci stp => - Télécharge DiagHelp.zip sur ton bureau - Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier chercher va être créé DiagHelp - Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) - Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout -- A nouveau menu Edition / copier -- Dans un nouveau message ici, faire un clic droit / coller on va uploader un fichier chez S!RI pour analyse => *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! Vas sur cette page => http://siri.urz.free.fr/upload/ et clique sur le bouton Parcourir. Une fenêtre va s'ouvrir , recherche le fichier pomstore.dll dans le dossier C:\WINNT\system32 Une fois trouvé, clique dessus une fois : dans le champs "Fichier tu dois voir apparaitre le chemin du fichier. Dans le champs " Lien vers le message du forum où le fichier a été demandé:" colle l'adresse suivante => http://forum.zebulon.fr/index.php?showtopic=103913 merci d'avance pour la remontée du fichier .

salut didjawai Ton rapport hijackthis ne présente pas d'infection .Ceci dit, j'aimerai que tu verifies quelque chose stp : Regarde si tu trouve ce fichier => smss.exe dans le répertoire suivant => C:\WINDOWS\system Si tu le trouves, élimine le! Attention!! ne touche surtout pas au fichier qui porte le même nom, mais qui se trouve dans le répertoire C:\WINDOWS\System32 Pour être sûr de le voir , fais ceci => *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Poste un rapport avec hijackthis comme ceci => Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici. @+ @+

salut Est ce que tu as essayé ceci? => Passe par Démarrer/ Exécuter et dans la boite tu copies/colles ceci=> regsvr32.exe -u shmedia.dll Il faudra peut être redémarrer le pc. Ensuite, relance des fichiers vidéo et dis moi si ca marche

salut BENFMOHA On ne te jette pas la pierre, mais il faut comprendre que les analyses prennent du temps , et lorsque tu postes sur plusieurs forums à la fois; tu monopolises du monde, et personne n'y comprend rien parce que les rapports que tu postes sont faussés!si nickW ne t'as pas répondu de suite (ou moi) c'est parce que nous ne sommes pas sur le forum toute la journée! on est bénévolle et on ne peux pas être toujours là au moment ou la personne poste! Ceci dit, tu peux continuer la procédure décrite ci dessous si tu veux => ne te préoccupe pas du fichier rmvpeye.exe pour le moment.

salut ok pour regedit ! pour ce qui est de ton fond d'écran, ce sera résolu une fois smitfraudfix passé. Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure -Dans le champs"Type" en bas de page ,choisis: Page web complète -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: -Télécharge la dernière version de Killbox et met le sur ton bureau. -Télécharge ATF Cleaner by Atribune sur ton bureau. -Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. Étape 1: * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] "artm_newreg"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "SystemCheck2"=- "DCOM Server 2236"=- [-HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44A1-9F4543D34546}] [-HKEY_CLASSES_ROOT\CLSID\(2C1CD3D7-86AC-4068-93BC-A02304BB2236)] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "DCOM Server 2236"=- [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB2236}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "SystemTools"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Windows update loader"=- -Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:kill.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitte le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! Étape 2: * Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\System32\2236_32.dll C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll C:\WINDOWS\System32\vxgame1.exe C:\WINDOWS\System32\dlh9jkdq8.exe C:\WINDOWS\System32\kr_done1 C:\WINDOWS\System32\winsub.xml C:\WINDOWS\System32\svcp.csv C:\WINDOWS\System32\vx.tll C:\WINDOWS\System32\kernels8.exe C:\Windows\xpupdate.exe C:\eied_s7.cab Ouvre Killbox: Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option => Paste from clipboard Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite! Coche les cases : "Delete on Reboot" & "Unregister Dll Before Deleting" . Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files" Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: *Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle un des antivirus présents sur ton pc: c'est soit Antivir, soit AVG! * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hpB04.tmp (file missing) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\RunServices: [systemTools] C:\WINDOWS\System32\kernels8.exe O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: http://secure.gestrip.com (HKLM) O15 - Trusted Zone: http://update.randhi.com (HKLM) O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} - O16 - DPF: {43331111-1111-1111-1111-611111195622} - O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.av.fr.aol.com/molbin/share...84/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1138883085160 O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - C:\WINDOWS\System32\2236_32.dll -Ferme tous les programmes et clique sur "Fix Checked" Étape 4: * Relance SmitfraudFix.cmd Dans le menu, sélectionne 2 Répond O (oui) à la question "Voulez-vous nettoyer le registre?" . Une fois ceci fait, sélectionne l'option 3 "Effacer les sites de confiance et sensibles" *Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 5: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 6: Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Étape 7: Redémarre normalement et poste les rapports suivants => - une startup list avec hijackthis . - un rapport fait avec Diaghelp. - le rapport d'Ewido - le rapport de smitfraudfix fait avec l'option 2. Windows est un gruyère à la base, et Microsoft , victime de son succès , a du faire face aux attaques des pirates , et mettre au point tout un tas de correctifs pour protéger son bébé sous forme de PAck (on va passer au ServicePack3!!) Les pirates utilisent les failles de windows pour prendre le contrôle des pc, et ton pc n'étant pas du tout à jour, il est très vulnérable!!=> http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html le SP1 n'est pas suffisant: il faudra à la fin de la désinfection, télécharger toutes les mises à jour critiques(Hotfixes). Allez courage! Edit: une fois ceci fait, réessaie de lancer le gestionnaire de tâches et dis moi si ca fonctionne. PS: je viens d'éditer mon message à nouveau pour que tu utilises l'option 3 de smitfraudfix!! (voir étape 4)

salut Commence par effectuer ceci stp => 1) Télécharge SmitfraudFix de S!Ri ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. 2) Télécharge DiagHelp.zip sur ton bureau - Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier chercher va être créé DiagHelp - Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) - Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout -- A nouveau menu Edition / copier -- Dans un nouveau message ici, faire un clic droit / coller 3)Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici Il a été désactivé par un malware! est ce que tu as d'autres problèmes? peux tu ouvrir le registre par exemple? (passe par démarrer/exécuter et tape regedit puis referme le). Note: ton windows est vierge de toute mise à jour c'est la porte ouverte à tous les malwares...après désinfection tu as fort intérêt à mettre au moins le SP1 sur ton pc!! @+

salut Comme tu peux le constater, Panda a trouvé des fichiers infectés dans ta boite mail, mais il les a effacé, donc tout va bien. Fais gaffe lorsque tu reçois une pièce de jointe de bien la faire analyser par ton antivirus et de ne pas l'ouvrir directement!! c'est rapide et ca évite de grosses surprises. Panda a aussi détecté Smitfraudfix, mais on sait que ce n'est pas un malware bien sûr Comment fonctionne ton pc à présent? @+

salut david10 * Conserve Ewido,il est à l'essai 30 jours puis il perd certaines fonctions payantes, mais il reste efficace!Met le à jour avant de scanner ton pc. * Conserve ATF Cleaner pour nettoyer ton pc régulièrement, c'est important!(et rapide). * Conserve DiagHelp, il te servira pour lister rapidement certains répertoires sensibles du pc en cas de besoin. * Elimine=> FxHotbar.exe - relom.bat - lopxp - look.bat . * En plus du logiciel de nettoyage ATF, télécharge un utilitaire qui s'occupe de la base de registre => Regseeker : -Téléchargement : http://www.hoverdesk.net/freeware.htm -Turorial : http://www.zebulon.fr/articles/regseeker-1.php Je t'avais demandé de rendre visibles les fichiers/dossiers cachés , à présent recache les pour ne pas en effacer un par erreur! -A partir de n'importe quel dossier , tu as accès au menu "Outils" en haut de page: -sélectionne "Outils" puis "Options des dossiers". -Dans la fenêtre qui s'ouvre tu peux voir l'onglet "Affichage : -Activer la case : Ne pas afficher les fichiers et dossiers cachés -Activer la case : Masquer les extensions des fichiers dont le type est connu -Activer la case : Masquer les fichiers protégés du système d'exploitation Puis tu cliques sur Appliquer et Ok Pour en savoir plus, consulte la page de ipl_001: http://gerard.melone.free.fr/IT/IT-AM0.html Le navigateur => =>Firefox: un vrai navigateur que tu pourras sécuriser avec les conseils de megataupe: -Tutorial: http://forum.zebulon.fr/index.php?showtopic=69628 IE est une plaie au niveau sécurité! même si tu préfères continuer à utiliser IE, télécharge quand même Firefox:ca te permettra de surfer comme il faut en cas de soucis avec IE. Si tu veux toujours utiliser IE! : => Ie-spyad2 d'Eric L. Howes: Pour Internet Explorer uniquement!( une fois l'utilitaire dézippé dans son dossier, cliquer sur le fichier ie-ads.reg: les modifications ne sont pas visibles mais l'effet est garanti par le message qui suit=>(Ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu attéris sur un site douteux) Une autre manière de bloquer les sites indésirables: il existe un fichier nommé "Hosts" qui se trouve sous ce chemin=> C:\WINDOWS\system32\drivers\etc Il permet de bloquer tous les sites que l'on désire de manière très simple (et interdire tout site douteux : utile lorsqu'on est pas le seul à utiliser le pc!) un fichier Hosts souvent mis à jour accessible ici=> http://www.mvps.org/winhelp2002/hosts.txt Un autre fichier Hosts ainsi que tous les détails et explications sur le site de tesgaz , sur cette page => Le fichier Hosts et la sécurité Ouvrir le fichier Hosts en double cliquant dessus=> un message apparait demandant quel programme utiliser pour lire le fichier : spécifier "Bloc Note". Le fichier s'ouvre dans le "bloc notes". Faire un copier/coller du fichier Hosts récupéré (celui de tesgaz par exemple) afin de modifier celui présent dans C:\WINDOWS\system32\drivers\etc Cliquer sur "Fichier" puis "Enregistrer".Quitter le bloce note. (ne pas oublier de remettre ce fichier en lecture seule.) Tu peux rajouter les sites que tu veux bloquer à ta guise. Note: lorsque le fichier Hosts devient trop important, il est conseillé de désactiver le service "ClientDNS" pour éviter tout plantage! Le parefeu => tu peux tester son efficacité face aux attaques :à l'adresse suivante, tu as accès à toute une batterie de tests qui permettent de savoir si la protection du parefeu est bonne(par une technique de scan des ports du pc): pcflank Sous le menu "Test Your System" tu trouveras Stealth test (qui permet de savoir si ton pc est visible ou non depuis internet) Le "Browser Test" te permet de savoir si ton navigateur est bien configuré Le "Trojans Test" qui permet de vérifier si les ports utilisés par les trojans sont bien fermés :dans le cas contraire, il se peut que le pc soit déjà infecté! etc... Ce test est en anglais, tu peux aussi essayer celui là => http://www.zebulon.fr/outils/scanports/test-securite.php => ZebProtect (pour sécuriser les ports de ton pc,très simple) -Tutorial:http://www.zebulon.fr/articles/zebprotect.php -Téléchargement: http://telechargement.zebulon.fr/123.html L'antispyware (au choix)=> =>Spywareterminator Ce logiciel est gratuit et possède une protection en temps réel qui permettra de protéger ton pc contre les spywares son turoriel chez Malekal_Morte: http://www.malekal.com/tutorial_SpywareTerminator.html =>SpyBot-Search & Destroy: http://spybot.safer-networking.de/fr/download/index.html -l'installer et le configurer comme dans ce lien=> http://www.zebulon.fr/articles/spybot_1.php Tu peux éventuellement installer un autre antispyware qui ne servira qu'à scanner le pc et qui n'entre donc pas en conflit avec celui qui est déjà actif: -Ad-aware SE :un excellent antispyware pour scanner le pc( pour bénéficier de la protection en temsp réel, il faut choisir la version payante) Son tutoriel: http://home.tiscali.be/schouppeguy/adawarese/adawase.htm http://tutopat.hostonet.org/viewtopic.php?t=207 -la version d'évaluation d'Ewido que tu connais déjà! et le bon tutoriel(chez Malekal_Morte) qui permet de scanner le pc correctement ,que tu trouveras à la section":"Aide Logiciels" => http://www.malekal.com/ Note: ces logiciels doivent bien sûr être mis à jour avant de scanner le(les) disque(s) dur , et de préférence en Mode Sans Echec =>SpywareBlaster pour empêcher l'installation de contrôle active x de spywares :pour IE & Firefox.Ne consomme pas de ressource! Son tutoriel: http://www.ordi-netfr.org/tutorialspywareblaster.html Les précautions à prendre: Des précautions simples qui permettent de retrouver un pc en bon état! Erunt et Ntregopt le pc étant clean,il est important de pouvoir Sauvegarder la base de registre afin de la restaurer en cas de problème=> ntregopt permet de compacter la base de registre pour gagner de la place , et Erunt permet d'en faire une sauvegarde pour pouvoir la restaurer en l'état si besoin est.(problème infectieux,problème de plantage...) Comment l'utiliser: http://www.zebulon.fr/articles/base-de-registre-3.php Installe la console de récupération Il est parfois utile d'avoir la consolé de récupération accessible au démarrage de windows afin de pouvoir l'utiliser et ainsi réparer plus facilement son système endommagé! Si un jour tu décide de te débarrasser de Norton, passe par là avant de le faire, on te conseillera d'autres tools pour le remplacer avantageusement! @+ et bon surf : stp Utilise le bouton "Editer => Edition complête" et ajoute [résolu] à ton titre

salut j'ai besoin aussi du rapport hijackthis comme je te demandais plus haut (en ayant préalablement coché toutes les cases dans l'onglet "démarrage" de msconfig + renommé hijackthis.exe en Arthiesis.exe) @+ tard

salut et bienvenue sur le forum Commence par poster un rapport hijackthis stp => Télécharger la dernière version d'HijackThis Installation et utilisation d'HijackThis=> Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Renomme le fichier HijackThis.exe en lukatch.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste Arrêter tous les programmes en cours et fermer toutes les fenêtres Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran. - Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.

salut Oui ca progresse même bien le rapport hijackthis est propre et celui d'Ewido ne montre que des cookies comme tu l'as vu. Attendons le rapport du scan en ligne pour finir

salut ok merci pour les rapports! seul cd.exe est détecté comme malware ,mais ce n'est pas bien évident! aussi on va les renommer comme indiqué plus bas. Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure -Dans le champs"Type" en bas de page ,choisis: Page web complète -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: -Télécharge ATF Cleaner by Atribune sur ton bureau. - Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. - Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. Étape 1: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 2: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [WindowsUpdateS] C:\WINDOWS\System\winlogon.exe /s O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s -Ferme tous les programmes et clique sur "Fix Checked" Étape 3: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les fichiers en gras dans C:\WINDOWS\System: C:\WINDOWS\System\winlogon.exe C:\WINDOWS\System\regserv.exe Note: fais bien attention au répertoire ou tu élimines ce fichier=>winlogon.exe!!! il ne faut surtout pas toucher à celui qui est présent dans le dossier C:\WINDOWS\System32 *Renomme les fichiers suivants: pour cela, fait un clic droit sur chaque fichier et renomme le ainsi => C:\WINDOWS\system32\cd.exe en cd.old C:\WINDOWS\System32\57950CE6E0.sys en 57950CE6E0.old C:\WINDOWS\System32\SET2D.tmp en SET2D.old * Vide la corbeille. Étape 4: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 5: Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Étape 6: Redémarre normalement et poste stp les rapports suivants: -un nouveau rapport hijackthis. -le rapport d'Ewido Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index @+

je n'édite pas mon précédent message pour que tu vois bien ma demande! J'ai besoin d'infos pour ces fichiers => C:\WINDOWS\system32\cd.exe C:\WINDOWS\System32\57950CE6E0.sys C:\WINDOWS\System32\SET2D.tmp Stp,fais les analyser ici => http://www.virustotal.com/flash/index_en.html Lorsque tu cliques sur cette adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier 57950CE6E0.sys que tu trouveras en allant dans le dossier C:\WINDOWS\System32\ Tu cliques une fois sur le fichier 57950CE6E0.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour les autres. afin de voir ces fichiers,fais ceci=> *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! @+

salut La suite des rejouissances ! => Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" 2) Relance SmitfraudFix.cmd Dans le menu, sélectionne 2 Poste le nouveau rapport puis un nouveau log HijackThis

salut Ton rapport est faussé du fait que tu as utilisé msconfig pour virer manuellement des éléments du démarrage ! Retourne dans msconfig , stp, et coche toutes les cases . Après ca renomme le fichier HijackThis.exe en Arthiesis.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste . Reposte un nouveau rapport hijackthis , et lance l'utilitaire suivant => - Télécharge DiagHelp.zip sur ton bureau - Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier chercher va être créé DiagHelp - Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) - Une fenêtre va s'ouvrir, choisis l'option 1 - L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande - Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : -- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout -- A nouveau menu Edition / copier -- Dans un nouveau message ici, faire un clic droit / coller @+

salut BENFMOHA Comme je te demandais => C'est important! poste le rapport dans ta prochaine réponse stp. Je te disait plus haut => C'est toujours valable Voilà une petite procédure à suivre => -Télécharge ATF Cleaner by Atribune sur ton bureau. Étape 1: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.321search.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZCfox000 O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe -Ferme tous les programmes et clique sur "Fix Checked" Étape 2: *Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: Download Accelerator Plus (DAP) FlashGet Need2Find Étape 3: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les dossiers en gras dans C:\Program Files: C:\Program Files\DAP C:\Program Files\FlashGet C:\Program Files\Need2Find * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 4: Fais analyser ce fichier stp=> C:\WINDOWS\rmvpeye.exe A faire analyser ici => http://www.virustotal.com/flash/index_en.html Lorsque tu cliques sur cette adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier rmvpeye.exe que tu trouveras en allant dans le dossier C:\WINDOWS Tu cliques une fois sur le fichier rmvpeye.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour les autres. Vas dans le répertoire suivant(en gras) et dis moi ce qu'il contient : C:\Program Files\fichiers communs\ fpjeebld Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Note: le rapport Diaghelp n'ast pas complêt!! il manque le début. Poste un nouveau rapport hijackthis comme indiqué plus haut. Poste le rapport de Panda. Poste le nouveau rapport de DiagHelp en entier. Poste le résultat du scan avec virustotal pour "rmvpeye.exe" @+ EDIT: BENFMOHA , c'est pas très gentil de poster sur deux forums en même temps... => http://assiste.forum.free.fr/viewtopic.php?t=13065 nickW est une grande spécialiste , tu lui fait perdre son temps ..et le mien! Losque tu postes sur deux forums, les résultats que tu nous donne sont faussés!!chacun a sa propre méthode de désinfection. tu aurais au moins pû nous le dire !

de rien je repasse cette nuit pour poster les conseils de sécurité nécéssaires .

salut Le pc est encore infecté!Stp , continue comme ceci => Télécharge SmitfraudFix de S!Ri ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. @+ pour la suite! Edit: Tu as NERO: utilise l'outil intégré au logiciel pour tester le graveur.

salut ok pour moi le rapport est propre : comment fonctionne le pc à présent? * pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=> (ca nettoiera l'infection découverte par Kaspersky) Supprime la restauration système=> aide visuelle @+

salut chmart C'est vrai que ca faisait un bail Ne t'excuse pas,il m'arrive de ne pas voir moi même certains messages postés à mon attention sur le forum Etonnant tout de même...il me semble que Bitdefender propose aussi un parefeu dans sa solution tout-en-un.. La priorité , avant même de faire une connexion, c'est d'installer un parefeu qui est la protection numéro un face aux attaques!puis de mettre l'antivirus. Dommage que tu ne nous ai pas demandé conseil ca t'aurais évité ces formatages à répétition! Ca ne ressemble pas à l'action d'un malware... poste ta question sur le forum "Software",quelqu'un a peut être déjà vu ce problème! Ceci dit, à titre de vérification, tu peux quand même poster un rapport hijackthis @ bientôt chmart, tu passes quand tu veux/peux

re! Je te demandais de relancer en fait l'outil DiagHelp comme ceci => Ouvre le dossier DiagHelp -double-clique sur go.cmd - Une fenêtre va s'ouvrir, choisis l'option 1 puis tu postes le rapport qui va s'afficher (comme tu as fait plus tôt).C'est un nouveau rappport dont j'ai besoin pour voir si tout est clean. @+