Thanos

salut Excuse moi de ne pas avoir été assez explicite mais il faut absolument éliminer ce dossier => Donc élimine stp le dossier en question , puis reposte un rapport chercher.cmd Laisse tomber le désenregistrement de la dll à l'aide de regsvr et dis moi si tu vois les fichiers cachés après utilisation de search.bat @+ tard

salut Chuky A priori ca semble bon, mis à part une petite manipulation à faire(un reste de Xfire)=> -Télécharge LSPFix de Cexx.org http://www.cexx.org/lspfix.htm Démarre LSPFix Coche 'I know what I'm doing' Clique sur 'Finish'. Redémarre ton PC. Dans ton précédent rapport on voyait la présence de Edgaccess : une infection qui sait planquer ses fichiers! aussi je te demanderait avant de poster ton nouveau rapport hijackthis (après manip avec Lspfix) de renommer hijackthis => renomme hijackthis en Chuky.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste , puis poste le rapport. De + fais un rapport avec cette optio(c'est rapide!) => Ouvre HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici. @+

salut et bienvenue sur le forum La restauration système est une belle chose Ceci dit, si tu as restauré ton pc à une date où il était déjà infecté... un conseil: poste quand même un nouveau rapport hijackthis pour être sûr que le pc n'est plus infecté

salut Pour le NTLDR manquant, il va falloir passer par la console de récupération de windows! Je pars du fait que tu as le cd d'XP : Afin de lancer la console de récupération => Une fois ceci fait, il faut lancer la commande fixboot comme ceci => -A l'invite de commande, tape fixboot c: -Tape sur la touche [Entrée] -A la question qui va t'être posée, répond Oui (O). -Tape sur la touche [Entrée] à nouveau. -Une fois ceci fait, redémarre le pc et dis moi si tu reçois encore le message Des captures d'écran et un article de tesgaz qui concerne la console de récupération ici => http://www.zebulon.fr/articles/console-de-recuperation-1.php @+ et courage!

WinAntiVirus Pro 2006 est installé sur ton pc et je vois d'autres indésirables! J'aimerai stp que tu postes deux rapports avant que je te laisse une procédure à suivre => - Télécharge chercher.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout Un nouveau dossier chercher va être créé Ouvre le et double-clic sur chercher.cmd Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout A nouveau menu Edition / copier Dans un nouveau message ici, faire un clic droit / coller -Ouvre HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici. Remarque=> tu ne dois pas installer hijackthis dans un répertoire temporaire!désinstalle le et met le dans C:\Program Files par exemple.(sinon tu ne bénéficiera pas des sauvegardes) Edit: de plus le pc est infecté par Edgaccess!! on verra ca juste après!

pour répondre, utilises le bouton "Répondre" qui se trouve en bas de page entre "Flash" et "Nouveau"

re! Ton Internet Explorer a l'air en mauvais état!! est ce que tu as un autre navigateur? Firefox par ex?Il serait bon que tu le télécharges et que tu l'installe. Sinon, essaie de passer par panneau de configuration =>connexions réseau et internet=> options internet => onglet "avancé" => tu cliques en bas de page sur le bouton "Paramètres par défaut" => "appliquer"=>ok. Réessaie de télécharger Ewido après avoir éliminé le fichier que tu as sur le bureau(le téléchargement a du foirer). Il faudra peut être réparer IE à l'aide de Power IE6 => http://www.technicland.com/powerie6.php3 Sinon, fais l'impasse sur Ewido pour le moment,et fais le reste : on verra après

salut et bienvenue Winantimachin comme tu l'a bien nommé est le genre de faux antispyware/antivirus à fuir absolument!! complêtement bidon! Voilà quelques infos => http://www.malekal.com/WinAntivirus2006.html il fait partie des "rogues" listés ici => http://www.malekal.com/guide_supression_spywares.html Commence par poster un rapport hijackthis stp => Télécharger la dernière version d'HijackThis Installation et utilisation d'HijackThis=> Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Renomme le fichier HijackThis.exe en scan.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste Arrêter tous les programmes en cours et fermer toutes les fenêtres Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran. - Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse. @+

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure -Dans le champs"Type" en bas de page ,choisis: Page web complète -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: -Télécharge ATF Cleaner by Atribune sur ton bureau. -Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour.(important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu") Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. Étape 1: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 2: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w -Ferme tous les programmes et clique sur "Fix Checked" Étape 3: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!=> *Supprime le fichier en gras dans C:\WINDOWS\system: C:\WINDOWS\system\smss.exe NOTE => ATTENTION DE NE PAS SUPPRIMER LE FICHIER smss.exe DANS LE REPERTOIRE C:\WINDOWS\system32 CAR CELUI CI EST LEGITIME ET IMPORTANT!! *Supprime le fichier en gras dans C:\WINDOWS\system32: C:\WINDOWS\system32\nvsvcd.exe *Vide la corbeille. Étape 4: *Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Si tu utilises Firefox: ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies". Étape 5: -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc stop Windows Log => clique sur [entrée] puis sc delete Windows Log => clique sur [entrée]Un message t'avertis du succès de l'opération Quitte l'invite de commandes. Étape 6: Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Étape 7: Redémarre normalement et poste : Un nouveau rapport Hijackthis. Le rapport généré par Ewido. @+

salut et bienvenue sur le forum Tu parles bien d'un formatage? et pas d'un écrasement de windows?Le pc est effectivement infecté par le trojan Polbot-D => http://www.sophos.com/virusinfo/analyses/trojpolbotd.html et le responsable? il est en bas à droite dans ta barre des tâches! => eMule !! Tiens un peu de lecture sur le P2P et ses bienfaits sur la sécurité du pc => http://forum.zebulon.fr/index.php?showtopic=85544 Une remarque: tu utilises McAfee SecurityCenter qui est une solution tout en un : McAfee VirusScan en fait il partie?si c'est le cas, il y a un antivirus de trop et il faudra désinstaller Avast4. Je lance une analyse.

salut Malekal, Fey Fey, tu peux tester tes barrettes (c'est vite fait) à l'aide de Memtest => http://telechargement.zebulon.fr/193-memtest86-165.html comme ca tu en auras le coeur net @+

Vels6 , tu as surement déjà lu le message ci dessus , aussi , afin que tu ne passe pas à côté de ma demande, je poste à nouveau! Alors, concernant ce petit bug lorsque tu as lancé le fichier bat , cela est dû au nom que je lui ait donné (merci à Ipl_001 pour la soluce ) . Donc stp à nouveau refais un fichier bat: vire celui que tu as précédement créé! * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code") attrib -s -h "C:\WINDOWS\Downloaded Program Files\PURfr-xx.dll" attrib -s -h "C:\WINDOWS\Downloaded Program Files\purfr-fr.dll" attrib -s -h "C:\WINDOWS\system32\drivers\oreans32.sys" -Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: search.bat -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier .bat que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! * Double clique sur le fichier, une fenêtre va s'ouvrir rapidement, c'est normal! * A présent fais la recherche des fichiers cités, et si tu les trouve, fais les analyser par le virusscan. @+ tard

salut et bienvenue On ne voit rien de mauvais sur ton rapport. Stp poste un rapport comme ceci pour en voir plus => - Télécharge chercher.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout Un nouveau dossier chercher va être créé Ouvre le et double-clic sur chercher.cmd Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout A nouveau menu Edition / copier Dans un nouveau message ici, faire un clic droit / coller Qu'est ce que tu veux dire? qu'un processus utilise beaucoup de mémoire?

salut Alors, concernant cette CLSID présente dans le dossier C:\Program Files\Fichiers communs : il va falloir l'éliminer ! Effectue les manipulations suivantes : Passe par démarrer=> exécuter et tapes copie/colle ceci : regsvr32 /u C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021}\services.dll Un message t'avertit que ca a réussi. *Supprime le dossier en gras C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021} *Vide la corbeille et passe ATF Cleaner. Si tu ne parviens pas à éliminer le dossier en mode normal , redémarre en mode sans échec et vire le dossier. Je vais te redemander ceci stp : lance chercher.cmd et poste le rapport. @+

salut et bienvenue sur le forum Ton rapport ne montre rien de mauvais.Une question : je vois que tu a une connexion en Wifi, est ce que c'est récent(ca correspond avec cette fameuse baisse de débit?)? Je te demande ca, car il est propable (pas sûr!) que quelqu'un du voisinage par exemple surfe grace à ta connexion! ce qui évidemment réduirait la bande passante de ta connexion... ton Fai (Wanadoo ou club internet ) ne t'en a pas parlé? Est ce que cette connexion est sécurisée par une clé WEP, WPA?as tu activé le filtrage des adresses MAC? Un utilitaire qui te servirait pour savoir si les un (des)utilisateur se connecte à ton point d'accès , se nomme airsnare On peux cependant faire une petite recherche pour voir si ce n'est pas du a une infection : - Télécharge chercher.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout Un nouveau dossier chercher va être créé Ouvre le et double-clic sur chercher.cmd Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout A nouveau menu Edition / copier Dans un nouveau message ici, faire un clic droit / coller @+

salut Ok je suis en train de regarder le pour ces fichiers cachés! Dis moi quel est le nom de cette dll présente dans le dossier C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021} Fais un clic droit dessus et donne moi les infos le concernant (date, taille etc...) Est ce que tu as réussi à voir les fichiers cachés en mode sans échec ou en mode normal? Reposte un rapport hijackthis comme le précédent stp.

bonjour Lazaa Il manque une partie du rapport chercher.cmd!! tu n'as pas tout posté. C'est pour ca que je te demandais ce rapport!le pc est encore infecté, il y a des fichiers à éliminer comme je te disait! On va éliminer ceux montrés dans ton rapport comme ceci => Étape 1: -Télécharge la dernière version de Killbox et met le sur ton bureau. -Met Ewido à jour et quitte le programme. Étape 2: Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\System32\hgfhk.ini2 C:\WINDOWS\System32\ghdcglsy.exe C:\WINDOWS\System32\hgfhk.bak2 C:\WINDOWS\System32\gbfefrpi.exe C:\WINDOWS\System32\xgqbvttr.exe C:\WINDOWS\System32\mcrh.tmp C:\WINDOWS\System32\ibuegbju.exe C:\WINDOWS\System32\ceoraimj.exe C:\WINDOWS\System32\gujacxid.exe C:\WINDOWS\System32\fljefmgy.exe C:\WINDOWS\System32\yacymmbb.exe C:\WINDOWS\System32\ujnjcabv.exe C:\WINDOWS\System32\ebuwxphr.exe C:\WINDOWS\System32\ycopgfwi.exe C:\WINDOWS\System32\glgjeycl.exe C:\WINDOWS\System32\adalctrk.exe C:\WINDOWS\System32\nowblisj.exe C:\WINDOWS\System32\oins.exe c:\windows\downloaded program files\UDC6_0001_D18M1108NetInstaller.exe Ouvre Killbox: Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option => Paste from clipboard Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite! Coche les cases : "Delete on Reboot" Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files" Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: Il faut répondre YES . -Suis les instruction ci dessous . -Si tu reçois le message suivant fais le moi savoir stp=> "PendingFileRenameOperations Registry Data has been Removed by External Process!" Étape 3: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok * Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Étape 4: Redémarre normalement et poste les rapports suivants stp : -le rapport d'Ewido -lance chercher.cmd(de nouveau ) et poste le rapport entier stp (copie/colle tout ce qu'il y a dans le fichier texte, c'est important! - Lance hijackthis comme ceci => -Ouvre HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici. -Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe On avance je te rassure , mais stp poste la totalité des rapports, il faut que je vois certains points importants! @+

salut veuve noire Fais une vérifcation sur ton disque dur comme ceci => fais un clic droit sur l'icone de ton disque dur © puis choisis=> /propriete/outil/verification des erreurs. Ca permettra déjà de savoir si il y a des blocs défectueux sur ton dd. @+

salut Beau boulot c'est beaucoup mieux !! Une remarque : c'est le rapport de Smitfraudfix généré après le passage de l'option 2 qui m'intéresse pour voir si il a réussi à éliminer l'infection! Regarde stp dans le dossier ou tu as dézippé Smitfraudfix si tu le trouve et poste le contenu dans ton prochain message Stp , j'ai besoin du rapport de chercher.cmd , car il va montrer encore d'autres fichiers qu'il faudra peut être éliminer! Le message que tu reçois est normal!=> après ca normalement, il te sera demandé d'appuyer sur une touche pour continuer ,fais le. C'est après ca que le fichier s'ouvre! Essaie de voir si tu le trouve dans le répertoire C:\ , il se nomme : resultat.txt. Si ca ne marche pas, essaie celui ci => télécharge WinPFind: http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip dezippe le et lance winpfind.exe clique sur Start Scan et soit patient ca peut durer quelques instants et poste le rapport Fais un scan en ligne ici => @+

salut veuvenoire Ca faisait longtemps Il est bien clean ce rapport: RAS!! tu rencontres des problèmes? @+

salut Mia27,Gof A pour toi aussi ... je peux pas laisser un 0 comme ca! même si c'est pour poster une petite blague

salut Vels6 Bien, Kaspersky n'a détecté que SmitfraudFix !! c'est bon signe! Les fichiers sont bien cachés manifestement! Peux tu essayer ceci stp => Étape 1: * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code") attrib -s -h "C:\WINDOWS\Downloaded Program Files\PURfr-xx.dll" attrib -s -h "C:\WINDOWS\Downloaded Program Files\purfr-fr.dll" attrib -s -h "C:\WINDOWS\system32\drivers\oreans32.sys" -Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: attrib.bat -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier .bat que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! De même on va faire un fichier reg pour éliminer des clés du registre * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] [HKEY_USERS\S-1-5-21-1740806130-3832907039-3117313221-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] "j"=- [-HKEY_USERS\S-1-5-21-1740806130-3832907039-3117313221-1007\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] -Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: delete.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 Étape 3: *Double clique sur le fichier delete.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. *Double clique sur le fichier attrib.bat pour qu'il s'exécute.Tu ne reçevra aucun message! : une fenêtre va s'ouvrir rapidement et se refermer: c'est normal. *Vide la corbeille. Par curiosité, stp essaie de voir si les fichiers sont visibles en mode sans échec => PURfr-xx.dll - purfr-fr.dll - oreans32.sys Étape 4: Redémarre normalement et regarde une fois de plus si tu vois les fichiers en question à présent : si c'est le cas, fait les analyser. Reposte un rapport hijackthis comme le précédent stp. @+ et bonne semaine

salut A la fin de la désinfection,on s'occupe de ca Bon on va éliminer Edgaccess comme ceci => Étape 1: -Lance Ewido et met le à jour puis ferme le programme. -Télécharge Brute Force Uninstaller (de Merijn). Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Voici ce à quoi doit ressembler l'icone du fichier .Bfu que tu viens de télécharger: Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). Étape 2: * Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\system32\khocfigpte.exe C:\WINDOWS\system32\khocfigpte.dat C:\WINDOWS\system32\khocfigpte_nav.dat C:\WINDOWS\system32\khocfigpte_navps.dat Ouvre Killbox: Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option => Paste from clipboard Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite! Coche les cases : "Delete on Reboot" . Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files" Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. Étape 3: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 4: * Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : EGDACCESS.bfu - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. Étape 5: * Elimine le dossier suivant: C:\!KillBox * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 6: Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Étape 7: * Redémarre normalement et poste: - un nouveau rapport Hijackthis(en mode normal) pour vérification - ainsi que le rapport d'Ewido - relance Blacklight et poste le rapport Allez on est bien après ca

salut Le pc est encore infecté par Purityscan entre autres! Non, c'est l'action d'un malware qui fait bugger IE ! on va s'en occuper! Un point important: stp désactive le Teatimer de Spybot le temps de la désinfection, car il risque de gêner les modifications qui vont être faites au niveau de la base de registre ! Fais ca en priorité stp!! Pour le désactiver, ouvre Spybot =>clique sur l'onglêt "Mode" et choisis "Avancé". Clique sur le bouton "Outils" en bas à gauche de la fenêtre. Clique sur "Résident". Décoche la case "Résident tea timer" , puis quitte le programme. Tu ne dois plus voir l'incône du tea timer dans la barre des tâches après ca! Après ca, tu attaques comme ceci => Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure -Dans le champs"Type" en bas de page ,choisis: Page web complète -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. -Télécharge ATF Cleaner by Atribune sur ton bureau. - Télécharge chercher.zip sur ton bureau - Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout - Un nouveau dossier va être créé , nommé "Chercher". Étape 1: * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{4DA6886B-3CF2-690B-DCAA-10637E6AD39B}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "297a6a7.exe"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ugm"=- "Nuur"=- [-HKEY_CURRENT_USER\software\purityscan] [-HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\ClickFlag] [-HKEY_USERS\.DEFAULT\Software\Ttee] [-HKEY_CURRENT_USER\Software\Toos] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PuritySCAn] [-HKEY_CURRENT_USER\Software\Aubt] -Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: kill.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: Passe par démarrer=> exécuter et tapes copie/colle ceci : regsvr32 /u C:\WINDOWS\system32\xidlacjx.dll Un message t'avertit que ca a réussi. * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = kontsp:50 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - {4DA6886B-3CF2-690B-DCAA-10637E6AD39B} - C:\WINDOWS\system32\xidlacjx.dll O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll O4 - HKLM\..\Run: [297a6a7.exe] C:\WINDOWS\system32\297a6a7.exe O4 - HKCU\..\Run: [ugm] C:\WINDOWS\?icrosoft\d?xplore.exe O4 - HKCU\..\Run: [Nuur] "C:\DOCUME~1\trois\MESDOC~1\FNTS~1\dvdplay.exe" -vt mt O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O15 - Trusted Zone: http://www.amaena.com O15 - Trusted Zone: http://locator.cdn.imageservr.com O15 - Trusted Zone: http://scanner.sysprotect.com O15 - Trusted Zone: http://*.systemdoctor.com O15 - Trusted Zone: http://www.winantivirus.com O15 - Trusted Zone: http://www.winantiviruspro.com O15 - Trusted Zone: http://download.cdn.winsoftware.com O15 - Trusted IP range: http://202.67.220.225 O15 - Trusted IP range: http://59.148.220.121 O15 - Trusted IP range: http://62.4.84.53 O15 - Trusted IP range: http://82.98.235.58 O15 - Trusted IP range: http://85.12.25.90 O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://www.drivecleaner.com/.freeware/inst...leanerstart.cab O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O20 - AppInit_DLLs: -Ferme tous les programmes et clique sur "Fix Checked" Étape 4: Relance SmitfraudFix.cmd Dans le menu, sélectionne 2 Une fois son travail terminé, au message "entrez votre choix" , choisis 3. Quitte le programme. Étape 5: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les fichiers en grasdans C:\WINDOWS\System32: C:\WINDOWS\system32\xidlacjx.dll C:\WINDOWS\system32\297a6a7.exe *Supprime les dossiers en gras: C:\WINDOWS\?icrosoft C:\Documents and Settings\trois\Mes Documents\FNTS~1 *Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. *Vide la corbeille. Étape 6: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok * Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. Étape 7: Redémarre normalement et poste => -Le rapport SmitfraudFix (option 2) -Le rapport d'Ewido. -Un nouveau rapport hijackthis. -Lance chercher.cmd comme ceci => Ouvre le dossier chercher sur ton bureau et double-clique sur chercher.cmd Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout A nouveau menu Edition / copier Dans un nouveau message ici, faire un clic droit / coller Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Allez courage

Salut tout le monde Je poste les rapport de lazaa qui les a mis dans une autre discussion => Bienvenue sur ce forum lazaa Comme je te le disait par MP , il faut se créer son propre sujet , sinon il risque de passer inaperçu! lorsque tu veux répondre , utilise le bouton "Répondre" qui se trouve entre "Flash" et "Nouveau" en bas de page . Ton pc est bien infecté!par ailleurs je ne voit ni antivirus, ni parefeu sur ce pc!!(tu utilises ce lui intégré au SP2 j'imagine?) Donc pour commencer, effectue cette procédure stp => Phase 2 Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapote immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisis "Mode sans échec" avec les flèches du clavier, puis valide avec "Entrée". en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" A l'ouverture de session, choisis la session courante et non celle de l'administrateur Affiche tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=> Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 Nettoyage rapide du disque dur : Clique sur Démarrer / Exécuter / tape CleanMgr et valide Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel, comme indiqué ci-dessous. Utilisateurs XP, assurez vous également de faire ceci => suppression de tous les fichiers contenus dans les dossiers=> -C:\TEMP -C:\WINDOWS\TEMP -C:\Documents And Settings\Session utilisateur\Local Settings\Temp -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files -Vider la corbeille Recherche et élimination des parasites avec Antivir=> lance un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) Sauvegarde le rapport! Redémarre le PC en mode normal Installation et utilisation d'HijackThis=> Crée un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisis "nouveau dossier" et le nommer HijackThis); dézippe le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [votre pseudo sur zebulon].exe (ne pas insérer d'espace, ponctuation ou de caractères accentués dans le nom) ; crée un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire Arrête tous les programmes en cours et ferme toutes les fenêtres Lance HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile" Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (pense à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de tes rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran. Phase 4 - Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis colle le (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu créeras sur le forum [Analyse rapports HijackThis, Eradication malwares] de manière à ce que nous te disions ce qu'il faut faire. Puis fais de même avec le rapport antivir. - Attends l'analyse et la réponse. Note: étant donné que tu n'as pas d'antivirus sur le pc, conserve Antivir !! A ceci (rapport hijackthis + rapport Antivir) je te demanderai ceci : Elimine la version de Smitfraudfix que tu as sur le pc : elle est dépasée! A nouveau télécharge Smitfraudfix => http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. @+