Thanos

salut Vels6 Se reposer?...pourquoi faire? week end un peu court! je travaille aussi le samedi Bien, il reste un peu de boulot! Concernant les fichiers que tu n'as pas trouvé ( PURfr-xx.dll et C:\WINDOWS\Downloaded Program Files\purfr-fr.dll) as tu bien mis en évidence tous les fichiers/dossiers comme je te demandais plus haut?? => Comme tu peux constater, les antivirus en ligne ont confirmé qu'un fichier est infecté! on va s'en débarrasser en mode sans échec, car tu n'y parviendra pas en mode normal! Étape 1: Profites en pour faire un dernier scan avec ton antivirus Kaspersky : met le à jour , mais ne lance pas le scan à présent. * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "{54DE9AC5-078B-1036-0721-040119050021}"=- -Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: kill.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! Étape 2: *Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle le programme suivant: Norman Si tu ne trouve pas, regarde dans le dossier suivant et recherche un désinstalleur("uninstall") et double clique dessus pour désinstaller le programme => C:\NORMAN Elimine le fichier suivant: C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021}\Update.exe mc-110-12-0000272 Elimine le dossier suivant: C:\NORMAN *Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 3: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 4: * Lance ton antivirus Kaspersky et fais un scan complêt du pc. Conserve le rapport de ce scan. Étape 5: - Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle les entrées en bleu dans la ligne de la zone de recherche: {54DE9AC5-078B-1036-0721-040119050021} - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel Ouvre ce dossier stp, et dis moi ce qu'il contient d'autre => C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021} Le rapport hijackthis que tu as posté est interressant car il montre la présence d'un driver qui peut être installé par un ver => C:\WINDOWS\system32\drivers\oreans32.sys Mais il peut aussi être installé par un "flight simulator" (FShostspy ?) Juste par sécurité, fais analyser ce fichier stp(ci dessus) comme tu as fait pour les autres et poste le rapport. Poste donc, : -le rapport de Regsearch. -le rapport de Kaspersky. -le rapport du scan du fichier oreans32.sys - un rapport hijackthis fait de la même manière que celui que tu as posté. Allez courage

salut Vels6 C'est du bon boulot!! on ne voit plus d'infection d'après tes rapports Quelques broutilles => Elimine les fichiers suivants => C:\DC 3 Maam sim C:\DC 3 Maam sim.rar Vide le contenu de ce dossier (n'élimine pas le dossier)=> C:\Documents and Settings\Estel\Local Settings\Temporary Internet Files\Content.IE5 * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok A présent, j'aimerai que tu fasses analyser ces fichiers par un scan en ligne => Clique sur le lien suivant => http://www.virustotal.com/flash/index_en.html Lorsque tu cliques sur cette adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier PURfr-xx.dll que tu trouveras en allant dans le dossier C:\WINDOWS\Downloaded Program Files Tu cliques une fois sur le fichier PURfr-xx.dll (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .Fais pareil pour les autres. Fais de même pour ces fichiers stp=> C:\WINDOWS\Downloaded Program Files\purfr-fr.dll c:\Documents and Settings\Alexandre\Application Data\Microsoft\Installer\{1EC65D1D-3911-4F7D-8B6A-63C69EDBFC6E}\_20e36a9a.exe c:\Documents and Settings\Alexandre\Application Data\Microsoft\Installer\{1EC65D1D-3911-4F7D-8B6A-63C69EDBFC6E}\_5a9f4086.exe C:\Program Files\alexandre_bedeau-flt1utraffic1.key (tu connais ca?) C:\Program Files\Fichiers communs\{54DE9AC5-078B-1036-0721-040119050021}\Update.exe Est ce que tu peux me poster un rapport avec Hijackthis comme ceci=> Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici. @+ tard Edit: je vois que tu as désinstallé Norman gracieusement "offert" par NeufTélécom lol!!il en reste des traces!on nettoiera ca après

salut curtmyst J'ai cru que tu avais abandonné!! bon.. c'est beaucoup mieux , tu as bien bossé Ceci dit, je vois encore la présence de ce dossier que je t'avais demandé d'éliminer => C:\Program Files\MailSkinner Il montre la présence d'Edgaccess sur ton pc(un vilain adware)Tu dois encore avoir des pop ups lorsque tu vas sur le net ? On va s'en débarrasser comme ceci => Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe On touche au but , courage Edit: il y a du Kazaa,du emule etc sur le pc : c'est une des principales sources d'infections que l'on rencontre! très souvent on télécharge pas seulement le dernier morceau de musique que l'on veut, mais aussi le malware qui va avec... un peu de lecture ici => http://forum.zebulon.fr/index.php?showtopic=85544

salut lupiou ok pour le rapport hijackthis! oui va quand même jusqu'au bout: les rapports de scans en ligne nous réservent parfois des surprises! @+ tard pour la suite et fin

salut Ok le rappport de scan de Blacklight est bon un grand merci à Liégeois pour son intervention @ toute pour le rapport de scan en ligne

salut Merci pour le rapport Blacklight : il ne montre rien de mauvais. Etrange, smitfraudfix n'a pas éliminé les restes de Safety Bar ... est ce que tu as bien lancé l'option 2 en mode sans échec?? Bon, on va faire un fichier reg pour nettoyer les restes! Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure -Dans le champs"Type" en bas de page ,choisis: Page web complète -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier". Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. -------------------------------------------------------------------------------------------------------------------------- La procédure: Étape 1: * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [-HKEY_CLASSES_ROOT\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{052b12f7-86fa-4921-8482-26c42316b522}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "incestuously"=- [-HKEY_CLASSES_ROOT\CLSID\{03413bf7-e34c-445b-bfc0-a2b127255871}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03413bf7-e34c-445b-bfc0-a2b127255871}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "incestuously"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Boonty\BoontyBox] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{aa760512-9bd8-4b1b-9e7a-dd9bbe3cf119}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAD65959-3923-4EF9-9B3A-6BAAE8E538E5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PandoraBoxCtrl.PandoraBoxCtrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PandoraBoxCtrl.PandoraBoxCtrl.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BB8AC401-701B-4ED1-96BB-B84A0FCF5874}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{C23587D9-1415-4042-9B3D-43118A4334C7}_is1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C23587D9-1415-4042-9B3D-43118A4334C7}_is1] [-HKEY_CURRENT_USER\Software\Boonty] [-HKEY_CLASSES_ROOT\boontybox] [-HKEY_CLASSES_ROOT\CLSID\{aa760512-9bd8-4b1b-9e7a-dd9bbe3cf119}] [-HKEY_CLASSES_ROOT\Interface\{AAD65959-3923-4EF9-9B3A-6BAAE8E538E5}] [-HKEY_CLASSES_ROOT\PandoraBoxCtrl.PandoraBoxCtrl] [-HKEY_CLASSES_ROOT\TypeLib\{BB8AC401-701B-4ED1-96BB-B84A0FCF5874}] -Aller en haut de page et cliquer sur le menu"Fichier" , une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant: remove.reg -Dans le champs"Type" en bas de page ,choisis: "tous les fichiers" -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: *Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: BoontyGames => collecte des infos en silence pour les monnayer ! Purityscan=> si tu trouves Safety Bar Étape 4: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {0F60FE1E-E974-481E-A45A-4C81E19EAB00} - C:\WINDOWS\system32\pmnnk.dll (file missing) O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\Safety Bar.dll (file missing) O4 - HKCU\..\Run: [Oiaa] "C:\WINDOWS\system32\PPPATC~1\svchost.exe" -vt ndrv O4 - HKCU\..\Run: [HijackThis startup scan] C:\Program Files\Hijackthis Version Française\HijackThis.exe /startupscan O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...29YYFR_ZZzer000 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O20 - Winlogon Notify: pmnnk - C:\WINDOWS\system32\pmnnk.dll (file missing) O20 - Winlogon Notify: winpdc32 - winpdc32.dll (file missing) O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing) -Ferme tous les programmes et clique sur "Fix Checked" Étape 5: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime le dossier en gras dans C:\WINDOWS\System32: C:\WINDOWS\system32\PPPATC~1 *Supprime les fichiers en gras dans C:\WINDOWS\System32: C:\WINDOWS\System32\knnmp.ini2 C:\WINDOWS\System32\knnmp.bak2 C:\WINDOWS\System32\mcrh.tmp C:\WINDOWS\System32\knnmp.ini C:\WINDOWS\System32\knnmp.tmp C:\WINDOWS\System32\knnmp.bak1 *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\Safety Bar => le dossier *Assure toi que ces fichiers ont bien disparu: C:\WINDOWS\system32\pmnnk.dll C:\WINDOWS\system32\winpdc32.dll C:\WINDOWS\system32\urroxtl.dll Étape 6: *Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. *Vide la corbeille. Étape 7: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 8: *Redémarre normalement et poste les rapports suivants : -relance Chercher.cmd et poste le résultat. -poste un nouveau rapport hijackthis. -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Fais un scan en ligne avec Panda : http://www.pandasoftware.fr/Activescan/Activescan.html . Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 . Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index Notes: - tu me dis ceci=> Es tu sûr qu'il s'agit d'un checkdisk? c'est pas plutôt HijackThis qui scanne ton pc au démarrage? parce que de la manière dont tu l'as configuré, il se lance automatiquement au démarrage de windows pour lancer son scan!! le fait de fixer la ligne 04 correspondante doit rêgler ce problème! N'oublie pas que lorsque tu lances le mode sans échec (par les option de démarrage F8) windows met plus de temps à se lancer qu'en mode normal ! Pas de souci ,c'est bon

salut Vels6 Merci pour ces rapports! on va a présent dénicher Edgaccess comme ceci stp , puis on tachera de tout éliminer Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe EDIT : je te lirai demain , là c'est dodo à demain pour la suite ! @+

salut Une question : est ce que tu parviens à télécharger le contrôle active x ou pas du tout ? stp j'aimerai que tu passes cet utilitaire, pour vérifier la présence de fichiers cachés => Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau. Double-clique blbeta.exe et accepte la licence; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe merci je vais voir pour ce problème de contrôles active x... peut être ne bénéficies tu pas des privilèges suffisants.

salut tu peux télécharger memtest à partir de cette page => http://telechargement.zebulon.fr/83-memtest86-32.html tu as le choix : soit tu crées une disquette de boot avec memtest comme c'est indiqué dans le lien , soit tu crées un cdrom bootable (si tu n'as pas de lecteur de disquette) en utilisant une image iso => "ISO images suitable for creating a bootable Memtest86 CDROM" => http://www.memtest86.com/#download0 @+

salut je jette un oeil à ton rapport!.... peux tu stp poster un rapport comme ceci => - Télécharge chercher.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout Un nouveau dossier chercher va être créé Ouvre le et double-clic sur chercher.cmd Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout A nouveau menu Edition / copier Dans un nouveau message ici, faire un clic droit / coller

Il est possible aussi que ce soit ton antivirus qui réagisse comme si il était confronté à une attaque! est que tu as suivi les recommendations faites sous la rubrique "Les recommandations pour réussir son scan" de la page suivante? => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

yess! je te prépare un petit topo et je te poste ca ce soir

ne confond pas restauration du système à une date antérieure , et formatage!! lorsque tu restaures le pc à une date antérieure, et que par malheur tu choisis une date ou le pc est infecté, tu restaure en même temps tous les malwares!! et oui , les virus et autres merdwares s'incrustent aussi dans les points de restauration! L'outil de restauration est une belle chose, mais il est aussi concerné par les infections ! le dossier en question ou sont stockés les points de restauration se nomme C:\System Volume Information . Donc oui, le problème sera réglé par un formatage : attention pas une réinstallation du système sur l'ancien! un vrai formatage en NTFS=> http://www.informatruc.com/formatage_ntfs.php Ceci dit, avant de le faire je te conseille d'installer quelques utilitaires sur une clé usb pour pouvoir les installer avant de faire la connexion comme je te disait! je te poste une petite liste sous peu

salut zbibou je dois bien t'avouer que je ne suis pas pro dans le paramétrage des parefeux!! surtout lorsqu'il s'agit du firewall de Norton!! poste plutôt un message dans le forum Optimisation, Sécurisation, Prévention en exposant bien ton souci et en donnant les résultats des test du parefeu : je pense que des connaisseurs pourront te donner un coup de main @+ tard

salut Oui! dans le pire des cas, et si il n'y a pas de données importantes à récupérer, c'est encore la meilleure solution(ca me fait mal au coeur de le dire!!) Sinon, il y a aussi la possibilité de faire une réparation de windows sans perte de données : ca remplacera d'un coup tous les fichiers système qui sont peut être corrompus. => http://www.bellamyjc.org/fr/windows2000.html#repair Si tu décide de formater dis le , qu'on te prépare les outils à installer avant de refaire une connexion (à mettre sur une clé usb) : ne va pas sur le net sans parefeu et antivirus paramétrés!! de plus il faut penser à mettre windows à jour pour éviter que des lascars n'utilisent une des nombreuses failles présentes dans le windows d'origine qui n'est pas à jour!

est ce que les contrôles actives x sont bien configurés? tu reçois un message de l'antivirus?est ce qu'il reste de la place sur ta partition principale? ok , c'est pas grave poste le rapport de "chercher.cmd" après manipulation avec killbox stp

salut FREEZESCREEN , est ce que tu as lu mon message plus haut?? => tu postes à deux endroits différents et ca peut fausser l'analyse!!! alors que le rapport de silent runners que tu postes ici ne montre pas d'infection, sur l'autre discussion que tu as ouverte, Blacklight (que je t'ai fait passer sans savoir que tu avais déjà commencé à faire la désinfection ici) montre une infection par Edgaccess. C'est pas cool pour nardino qui n'est pas au courant!! continue ta discussion ici stp. nardino , tu peux voir le rapport de Blacklight dans l'autre discussion => http://forum.zebulon.fr/index.php?showtopic=101759 je te laisse t'occuper de Edgaccess @+

salut Tu as deux antivirus qui tournent en même temps, commence par en désinstaller un , ca ira mieux Ensuite tu as un nombre impressionnant d'applications qui se lancent inutilement au demarrage , on peux faire le ménage si tu veux pour libérer des ressources. De plus pense à défragmenter ton DD. Le rapport ne montre rien de mauvais. A noter quand même , ceci que tu peux désinstaller => VVSN des infos ici => http://www.symantec.com/region/fr/techsupp...re.savenow.html @+

salut ok InOx , merci pour ces rapports! Je comprend pourquoi killbox n'a pas éliminé les fameux fichiers : le premiern'existe pas(plus) ! On recommence cette manipulation comme ceci stp => Etape 1: Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") : C:\WINDOWS\System32\eae_s.dll C:\WINDOWS\System32\fefcbd9_s.ocx C:\WINDOWS\System32\ssmute.ini C:\WINDOWS\System32\jjkkj.ini2 C:\WINDOWS\System32\jjkkj.bak2 C:\WINDOWS\System32\jjkkj.ini C:\WINDOWS\System32\msnc-b-f.exe C:\WINDOWS\Setup1.exe C:\WINDOWS\temp.000 Ouvre Killbox: Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option => Paste from clipboard Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite! Coche les cases : "Delete on Reboot" & "Unregister Dll Before Deleting" . Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files" Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. Etape 2: Redémarre normalement et stp essaie ce scan en ligne => http://webscanner.kaspersky.fr pour le faire correctement , consulte le tutoriel de Malekal_Morte ici( rubrique "Pour lancer un scan en ligne avec l'antivirus Kaspersky.") => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Si ca ne marche pas c'est que les paramètres de ton navigateurs ne sont pas bien réglés, dans ce cas; consulte la page suivante(c'est rapide) => http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 Reposte stp un nouveau rapport "chercher.cmd" avec le résultat du scan de Kaspersky

ok ! vundo semble eradiqué, continue comme ceci => 1) Télécharge la version d'évaluation d'Ewido: http://www.ewido.net/en/download/ Installe la et mets à jour. Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur Update Now, attend la fin de cette mise à jour, puis ferme le programme. Télécharge ATF Cleaner by Atribune sur ton bureau. http://www.atribune.org/ccount/click.php?id=1 2) Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" 3) Relance SmitfraudFix.cmd Dans le menu, sélectionne 2 4) Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok 5) Relance Ewido et clique sur Scanner Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine. Reviens a l'onglet Scan cliques Complete system Scan. Le scan démarre. A la fin cliquer sur Apply all actions Puis sur Save report et pour finir Save report as enregistrer sur le Bureau. 6) Poste le nouveau rapport smitfraudfix (option 2) puis un nouveau log HijackThis ainsi que le rapport d'Ewido stp. A ceci, stp ajoute un rapport fait comme ceci => - Télécharge chercher.zip sur ton bureau Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout Un nouveau dossier chercher va être créé Ouvre le et double-clic sur chercher.cmd Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout A nouveau menu Edition / copier Dans un nouveau message ici, faire un clic droit / coller après ca on attaque la suite

salut FREEZESCREEN , ne poste pas plusieurs topics pour la même discussion stp!!fais une recherche sur ce que tu as déjà posté! sans ca ,on fait des analyses pour rien! je t'avais répondu ici => http://forum.zebulon.fr/index.php?showtopic=101759 je laisse nardino continuer

salut et bienvenue sur le forum Le pc est infecté par Vundo entre autres ! Etape 1 Télécharge VundoFix.exe (par Atribune) sur ton Bureau. Double-clique VundoFix.exe afin de le lancer. Coche Run VundoFix as a task. Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok Clique sur le bouton Scan for Vundo. Lorsque le scan est complété, clique sur le bouton Remove Vundo. Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK Redémarre le pc et Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse. Etape 2 Télécharge SmitfraudFix de S!Ri ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. @+

excuse moi InOx ,juste une question : as tu utilisé Killbox? est ce que tu as reçu un message d'erreur? les fichiers que je voulais te faire éliminer avec killbox sont toujours présents!! ok pour le rapport vundofix! est ce qu'il s'agit d'un nouveau fichier fait avec chercher.cmd que tu as posté ? (j'ai l'impression de voir l'ancien!) Quelle erreur? as tu relevé le message? suis le tutoriel de Malekal_Morte pour le faire=> http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368 Si tu as bien utilisé Killbox, ouvre le dossier suivant => C:\!KillBox regarde dans le sous dossier Logs et double lcique sur le fichier kb.log puis poste son contenu dans ton prochain message. Lance hijackthis et coche les lignes suivantes => R3 - Default URLSearchHook is missing O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O11 - Options group: [iNTERNATIONAL] International* -Ferme tous les programmes et clique sur "Fix Checked" Poste un rapport hijackthis comme ceci => Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici. poste le rapport entier

salut nevo Question bête : ne s'agit t'il pas d'un lecteur virtuel monté avec Alcohol 120 ?? Est ce que tu as lu le tutoriel sur Kério?? => http://www.vulgarisation-informatique.com/kerio.php tu dois spécifier l'adresse ip de ton deuxième ordi dans les options de Kério => Lis bien cette partie de l'article ; et ajoute l'adresse ip de ton pc . @+

salut zbibou Je vois que toi aussi tu pars à la chasse une bonne chose Par contre, je vois deux parefeux actuellement sur le pc!! zone alarme mais aussi celui de Symantec => Norton AntiVirus Firewall Monitor Service . Un seul parefeu sur le pc ! sinon les risques de plantage sont réels!! Sinon le rapport que tu as posté est propre! la réponse de tesgaz=> le reste dans le topic suivant que je te conseille de lire: tu peux suivre ses conseils les yeux fermés! => http://forum.zebulon.fr/index.php?showtopic=85647 je ne l'ait pas fait moi même, mais tu peux le faire sans crainte. Comment le sais tu ? tu as fait des tests de firewall? en voici un sur Zeb => http://www.zebulon.fr/outils/scanports/test-securite.php sinon plus complêt à l'adresse suivante, tu as accès à toute une batterie de tests qui permettent de savoir si la protection du parefeu est bonne(par une technique de scan des ports du pc): pcflank Sous le menu "Test Your System" tu trouveras Stealth test (qui permet de savoir si ton pc est visible ou non depuis internet) Le "Browser Test" te permet de savoir si ton navigateur est bien configuré Le "Trojans Test" qui permet de vérifier si les ports utilisés par les trojans sont bien fermés :dans le cas contraire, il se peut que le pc soit déjà infecté! etc... @+ tard