Thanos

re! Un grand merci à MAD kidibou,on ne vas pas toucher à ce service avant d'en savoir plus! Je ne comprends pas le problème que tu rencontres avec le scan en ligne: s'agit il du scan chez Panda ou chez Kaspersky ? essaie les deux pour voir. on ne voit pas grand chose concenant ces fichiers: fais un clic droit dessus et choisis "propriétés" : dis moi quelles infos tu obtiens.

ok merci pour le rapport il ne montre rien de mauvais à première vue est ce que tu as pû uploader le fichier sur la page de MAD? Fais stp un scan en ligne ici puis on s'occupe du reste!=> Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. si ca ne marche pas ,fais celui ci(avec IE et pas Firefox!) => -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

salut Seul Bitdefender détecte en ce fichier brwssvc.exe une variante possible de Win32.ExplorerHijack . Je suis persuadé qu'il s'agit bien d'un malware: on va , pour faire avancer les choses, faire analyser ce fichier chez MAD stp(c'est important!).La manoeuvre est quasiment la même => Rend toi à la page suivante => chez MAD *Sous le champs :"Veuillez sélectionner votre fichier:" clmique sur le bouton "Parcourir" et recherche le fichier brwssvc.exe . *Dans le champs:"Veuillez indiquer ci-dessous le message destiné à notre équipe:" copie/colle la note suivante=> Merci pour la remontée d'infos Pour te débarrasser de VMNToolbar(ainsi que de TRELLIAN si tu ne veux pas la conserver)=> Télécharge ATF Cleaner by Atribune sur ton bureau. Si tu veux aussi te débarrasser de TRELLIAN : Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle TRELLIAN Toolbar * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: Trellian BHO Impl - {24180B00-2EB6-11d7-BD6F-004854603DCE} - C:\Program Files\TRELLIAN\Toolbar\toolbar.dll (file missing) O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL O3 - Toolbar: ToolbarBrowser - {71AAABE5-1F0F-11d7-BD6F-004854603DCE} - C:\Program Files\TRELLIAN\Toolbar\toolbar.dll (file missing) O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL -Ferme tous les programmes et clique sur "Fix Checked" *Supprime les dossiers en gras dans C:\Program Files: C:\Program Files\TRELLIAN => si tu veux te débarrasser de cette toolbar aussi! C:\Program Files\VMNTOOLBAR * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant: Explorateur d'ordinateur (Browser) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Quitte les services. télécharge WinPFind: http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip dezippe le et lance winpfind.exe clique sur Start Scan et soit patient ca peut durer une demi heure et poste le rapport Poste aussi un nouveau rapport hijackthis stp

salut a beluga Si Spysweeper ne trouve rien d'autre que des cookies, c'est tout bon! Qu'en est il de tes problèmes de pop ups? Pour ce qui est de l'écran d'accueil,il est de couleur grise, c'est ca? Si c'est ca , on va lister la clé ou est inscrite la couleur et modifier la valeur le cas échéant : Passe par Démarrer/Exécuter et copie-colle ceci=> regedit.exe /e c:\login.txt "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\ThemeManager" puis tu ouvres le fichier texte c:\login.txt et tu postes le contenu stp

salut et bienvenue sur ce forum vmntoolbar n'est pas méchant mais considéré comme douteux! Est ce que tu as essayé de la désinstaller via Installer /Désinstaller(Panneau de Configuration) ? Ceci m'ennuie déjà beaucoup plus!! => N'ayant aucune info au sujet de ce fichier(brwssvc.exe), on va le faire analyser stp ici : 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier brwssvc.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32 Tu cliques une fois sur le fichier brwssvc.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal. Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! Etant donné que certains fichiers/dossiers sont cachés , et si tu ne le trouve pas, fais ceci=> @+

salut Je n'ai qu'une chose à dire: bravo beau boulot. Sysclean ne trouve plus rien, Ewido a fait son petit nettoyage et Panda aussi! Une petite remarque: Fais gaffe avec des logiciels tels que echamblard ou emule(tout logiciel de P2P). C'est une des principales sources d'infection!! avec aussi evidemment les cracks et autres warez à fuir comme la peste car quasi toujours accompagnés d'un malware. Jette un oeil au mode d'infection via le P2P ici=> http://forum.zebulon.fr/index.php?showtopic=85544 Prudence avant tout!! Bon, je vois une ligne encore présente qui devrait avoir disparu: as tu créé et utilisé le fichier reg.(kill.reg) ? Pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci=> Supprime la restauration système=> aide visuelle Une dernière verif à faire stp (c'est rapide LOL!)=> Télécharge windatfindbat et dézippe le sur ton bureau. Lance le fichier windatfind.bat en double cliquant dessus. Une fenêtre DOS va s'ouvrir brièvement, et un fichier texte va apparaitre: poste stp le résultat en sélectionnant juste les 30 derniers jours dans chaque répertoire. @+ tard pour la suite et fin

salut Mis à part un reste de l'adware Cramtoolbar, on ne voit rien de méchant sur ce rapport. As tu déjà fait le ménage? Fais un scan en ligne stp pour voir => Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. un message concernant le scanner...Dis moi avant la restauration,ton ami a fait une désinfection? Le problème avec la restauration c'est qu'on récupère aussi les infections présentes le jour qu'on a choisi de restaurer.. C'est relatif à Logitech et son aplication Logitech Desktop Messenger,utilisée pour s'assurer des mises à jour.Inutile mais pas méchant. Exact!! un reste de Norton + AVG+ Avast... il faut faire le ménage et ne garder qu'Avast!!Ca evitera les risques de plantages! C'était quoi la version de Norton installée? En fait as tu testé la CG?? elle est peut être secouée! @+

salut Delphine05 Si si!! la procédure est à suivre , mais j'ai foiré en tapant mon message: je l'ai posté en deux exemplaires d'où mon"j'ai cafouillé"!! Donc tu peux suivre la procédure que je t'ai donné @+ pour le résultat

re Content que le pc fonctionne mieux (mais comme tu l'as très bien dit, il ne faut pas crier victoire trop tôt!!) C'est bien ce qu'il faut faire(c'est rare d'ailleurs )Et tu as raison : le rapport hijackthis est propre. Note: il me faudrait ce rapport hijackthis comme tu as fait précedemment : il montre plus de choses! (StartupList report) Là c'est une boulette de ma part!! mes excuses (je suis un peu crevé!) Tu as l'oeil en tout cas, car le chemin spécifié est en effet bizarre!(il y a bien un dossier "Windows NT " dans C:\Program Files , mais pas de dossier "Windows" en temps normal!!) Le fichier WinUpdate.exe n'existait peut être déjà plus lorsque tu as utilisé Killbox pour l'éliminer, mais je voulais en être sûr!! Par contre le chemin est bien celui montré par hijackthis . Aussi dis moi si tu trouves ce dossier => c:/program files/windows Tu peux continuer la procédure(au fait, je ne te demandais pas de vérifier si le fichier était présent , mais tu as bien fait!) Une fois les scans effectués:est ce que tu peux me poster les rapport: - de Killbox stp => KBlog - la startuplist de hijackthis - les rapports de scans d'Ewido et Trend Micro (pour voir si il trouve encore des fichiers touchés par l'infection). - Fais un scan en ligne à présent pour voir ce qui traine encore=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. ou fait le scan en ligne de Kaspersky si celui de Panda pose problème. Je sais, ca fait beaucoup de scans!! mais c'est franchement nécéssaire vu que cette infection est particulièrement méchante et mène tout droit au formatage du disque dur(on a eu de la chance si tout fonctionne bien ). Allez courage (je sors du boulot:au dodo!!)

ok allons y! -Fais analyser ce fichier =>adxapie.sys s'il te plait pour savoir si il est réellement infecté ici: 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier adxapie.sys que tu trouveras en allant dans le dossier C:\Documents and Settings\GARDELLA\Local Settings\Temp Tu cliques une fois sur le fichier adxapie.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! Il est aussi possible que tu ne trouve pas ce fichier: pas d'inquiêtude, dis moi juste ce qu'il en est. On va continuer comme ceci (le scan avec Sysclean est nécéssaire pour voir si l'infection est encore active)=> Étape 1: * Lance Ewido et met le programme à jour. Quitte le programme. * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "WinUpdate.exe"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Kernel] -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:kill.reg -Dans le champs"Type" en bas de page ,choisis: tous les fichiers -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! * Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci: C:\Program Files\Windows\WinUpdate.exe -Assure toi que les cases "Delete on Reboot" soit bien cochée. Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » : répondre OUI Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). Étape 3: * Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 4: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 5: -Comment utiliser Trend Micro Sysclean Package : Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir. coche la case "Automatically clean or delete detected files" Clique sur le bouton Scan Patiente le scan peut prendre du temps! Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.Ferme le programme. Étape 6: * Lance Ewido et clique sur "scanner" puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) Étape 7: *Redémarre normalement et poste un nouveau rapport Hijackthis(comme fait précédemment) pour vérification ainsi que le rapport d'Ewido + le rapport de Sysclean *Essaie de faire un scan en ligne chez Panda pour voir!

ok merci pour les rapports Il va falloir que j'épluche tout ca : je te laisse une réponse dès que j'ai terminé.

Y en a pas Puisque tu ne peux pas installer antivir, on va scanner ton pc en mode sans échec avec un antivirus qui ne s'installe pas à proprement parler.Par contre: il faut avant toute chose désactiver le Teatimer de Spybot par le menu options => "Réglages"=>"Outils"=>"Résident"=>décoche la case "Résident Teatimer". Le teatimer peux bloquer la désinfection! Étape 1: -Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple. -Désactive, le temps de la procédure, tous les contrôleurs d'intégrité (si présents) comme le tea timer de Spybot, Process Guard, Hanti hook, Winpooch, etc.. -Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer. -Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept. -Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer. * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Base Services"=- "Microsoft DNT Service"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Base Services"=- -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remove.reg -Dans le champs"Type" en bas de page ,choisis: tous les fichiers -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! * Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci: c:\windows\system32\msdntsrv.exe -Assure toi que la case "Delete on Reboot" soit cochée. Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON Ainsi de suite tu entres les chemins de tout les fichiers=> C:\Windows\system32\wbse32.exe à la fin , le même message va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: *Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 4: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 5: -Comment utiliser Trend Micro Sysclean Package : *Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir. *coche la case "Automatically clean or delete detected files" *Clique sur le bouton Scan *Patiente le scan peut prendre du temps! *Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.Ferme le programme. Étape 6: Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. Je t'avais demandé un log hijackthis fait de cette manière stp!!=> Poste le contenu du fichier: C:\rappoprt_clean.txt Poste le contenu du fichier:C:\!KillBox\Logs\Kb.log Poste le rapport de Trend Micro Sysclean. @+ Note: dans la mesure ou ce rootkit infecte les exécutables, il va certainement falloir faire une réparation de windows...(on verra ca après)as tu le cd de windows?

Ok , il y a encore du boulot Je te prépare une procédure(je reviens dans une heure environ)

désolé !! j'ai cafouillé.Ne pas tenir compte

salut Delphine05 Ohh Laura merci pour ce rapport !! enlève hijackthis de ce Répertoire temporaire , sinon tu ne bénéficieras pas des sauvegardes. Met le dans un répertoire dédié(C:\ProgramFiles par exemple)Fais le avant de cocher quoique ce soit. -Télécharge FxHotbar.exe -Télécharge ATF Cleaner by Atribune sur ton bureau. -Fais un clic droit sur le fichier suivant:DELDOMAINS Mike Burgess *clique sur "enregistrer la cible sous"(mets le fichier sur le bureau) *voilà à quoi il ressemble une fois sur le bureau (fichier inf)=> -Télécharge Spywareterminator(que tu garderas par la suite) http://www.spywareterminator.com/ son turoriel chez Malekal_Morte(merci!): http://www.malekal.com/tutorial_SpywareTerminator.html Lance le programme et configure le comme sur la page du tutoriel de Malekal_Morte. L'assistant va te demander si tu désires activer la protection en temps réel.(Would you like to enable Real Time Protection?) : répond "non"(tu l'activeras par la suite, on en a pas besoin pour le moment) Il faut mettre le logiciel à jour.quitte le programme. ------------------------------------------------------------------------------------------------ Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. ---------------------------------------------------------------------------------------------------------------------------------------------------- Étape 1: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 2: *Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant: HbTools ou Hotbar * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaul...rch/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Servi...omeLeftPane.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.7.0\HbtHostIE.dll O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.7.7.0\HbtHostIE.dll O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.7.0\HbtWeatherOnTray.exe O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.7.0\HbtOEAddOn.exe O4 - HKLM\..\Run: [cnwwfkzj] C:\WINDOWS\system32\ddcjqkmt.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot O15 - Trusted Zone: *.od2.com O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} (HbtInstObj) - http://installs.hotbar.com/installs/hbtool...ams/hbtools.cab -Ferme tous les programmes et clique sur "Fix Checked" Étape 3: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les fichiers en gras dans C:\WINDOWS\System32: C:\WINDOWS\system32\pbfrv2.dll => assure toi qu'elle n'existe plus. C:\WINDOWS\system32\ddcjqkmt.exe *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\HbTools Étape 4: *Fais un clic droit (clic avec le bouton droit de la souris) sur le fichier Deldomains.inf *Dans le menu contextuel qui vient de s'ouvrir, choisis "Installer". * Double clique sur le fichier FxHotbar.exe et suis les infos à l'écran.Elimine le fichier une fois le travail terminé. * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 5: Lance Spywareterminator et scanne le pc :(en image sur le tuto de Malekal_Morte) Clique sur Full Spyware Scan puis en bas sur le bouton Start Scan Now. Lorsque le scan est terminé, vous obtenez le rapport. Le bouton view system Report affiche un rapport de scan sous le bloc-note. Sélectionne la totalité du rapport et fais un Copier/Coller de ce rapport ici . Étape 6: Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport de Spywareterminator. Fais un scan ici => Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. @+

l'avantage c'est que ton rapport est rapide à lire Donc : installe de toute urgence le firewall + l'antivirus. Une fois ceci fait il faudra configurer Antivir selon les conseils de tesgaz et scanner le pc en mode sans échec. Peux tu stp me coller le rapport suivant => Peux tu poster le rapport nommé rapport_clean.txt que tu trouvera dans le volume C:\ ? A la place du scan chez Panda, as tu essayé le scan chez Kaspersky?? Edit: tu as bien bossé en tout cas le rapport hijackthis est propre!!

salut Si bien sûr les précisions sont importantes! un point à retenir: si tu as affaire à un système particulièrement infecté, ne fais pas les mises à jour tout de suite!!et surtout pas d'installation du sp2!! les risques de plantage de la machine sont élevés!(risque de formatage!) Les mises à jour sont à faire une fois le système nettoyé!Je regarde tes rapports et te dis quoi faire Un autre point très important : Installe dès à présent un parefeu + un firewall=> -télécharge Antivir http://www.free-av.com -son tutorial: http://speedweb1.free.fr/frames2.php?page=tuto5 -pour télécharger zone alarm: http://telechargement.zebulon.fr/58-zonealarm-60-fr.html -son tutorial: http://www.zebulon.fr/articles/configurationZA_1.php il y en a d'autres bien sûr! tu peux aussi installer Avast + Kério si tu veux pas exemple! -pour télécharger kério: http://www.sunbelt-software.com/Kerio-Download.cfm -son tutorial: http://www.vulgarisation-informatique.com/kerio.php -Patch francais: http://macmicro.chez-alice.fr/Download/download.htm pour Avast => http://telechargement.zebulon.fr/category-25.html

salut Le pc est infecté par le Rootkit VT100.EXE entre autres! Exécute la procédure suivante: va jusqu'au bout ! si tu ne comprends pas quelque chose n'hésite pas à demander. Tu as deux possiblités pour consulter les instructions qui suivent: -Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!). -Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur : - "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure - Dans types, choisis "Page web complète" - Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple) - Ouvre-le et choisis "Enregistrer sous" Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver. --------------------------------------------------------------------------------------------------------------------------- Étape 1: -Télécharge ATF Cleaner by Atribune sur ton bureau. -Télécharge la dernière version de Killbox ici et met le sur ton bureau. -Télécharger clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier nommé clean. Étape 2: * imprime ces instructions,ou copie- colle les dans un fichier texte pour lecture en mode Sans Échec. * Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci: C:\WINDOWS\update -Assure toi que la case "Delete on Reboot" soit cochée. Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON Ainsi de suite tu entres les chemins de tout les fichiers=> C:\WINDOWS\System32\VT100.EXE C:\WINDOWS\system32\csrs.exe C:\WINDOWS\system32\msdntsrv.exe à la fin , le même message va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. Étape 3: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 4: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\ToolBar888\MyToolBar.dll O4 - HKLM\..\Run: [Microsoft ® Windows Update Manager] C:\WINDOWS\update\updmgr.exe O4 - HKLM\..\Run: [VT100 Emulator] C:\WINDOWS\System32\VT100.EXE O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\csrs.exe O4 - HKLM\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe O8 - Extra context menu item: &MyToolBar Search - res://C:\Program Files\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe -Ferme tous les programmes et clique sur "Fix Checked" *Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: ToolBar888 *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\ToolBar888 *Supprime les fichiers en grasdans C:\WINDOWS\System32: C:\WINDOWS\system32\csrs.exe C:\WINDOWS\system32\msdntsrv.exe C:\WINDOWS\System32\VT100.EXE *Supprime le fichier en gras: C:\WINDOWS\update ces fichiers ont normalement disparu: il faut t''en assurer! Étape 5: -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc stop UpdateManager => clique sur [entrée] sc delete UpdateManager => clique sur [entrée] Un message t'avertis du succès de l'opération Quitte l'invite de commandes. Étape 6: Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte jusqu'à ce qu'elle se ferme. Étape 7: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe -Coche la case suivante:"select all" -Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 8: *Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) fait comme ceci=> Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici. * Ainsi que le rapport du scan suivant=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial ou celui là : Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp Allez courage

salut delphine05 Le pc est bien infecté , je confirme! Peux tu commencer par faire analyser ce fichier stp? => Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! Fais analyser celui ci=> ddcjqkmt.exe aux adresses suivantes : 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier ddcjqkmt.exe que tu trouveras en allant dans le dossier C:\WINDOWS\system32 Tu cliques une fois sur le fichier ddcjqkmt.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! Demande à ton père d'éviter de surfer le temps de la désinfection. @+

salut et bienvenue sur ce forum Dis moi, est ce que tu as installé un nouveau logiciel récemment? ca ne ressemble pasà l'action d'un malware... Fais stp un scan et poste le rapport=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial @+

salut guronsan ,skyman nous expliquer pourquoi tu as posté ce rapport par exemple...un minimum de précisions :les problèmes rencontrés etc. @+

salut Comme te le dit Zhorg, fais la procédure : le pc est bien infecté (par baggle entre autres!) Dis nous si tu rencontres des difficultés! après ca tu repostes un nouveau rapport (en entier!)après avoir effectué la procédure

y a pas de mal ducati tu ne risque rien avec ce fichier : le pire qu'il puisse arriver...c'est que ca ne marche pas! Pour répondre à ta question: oui , il faut dézipper tous les fichiers . Lorsque tu double cliques sur le fichier téléchargé, ca ressemble à ca=> tu cliques sur la case "unzip" et la totalité de l'archive sera dézippé automatiquement dans le dossier : C:\ie-spyad2 (13 fichiers en tout).Tu ouvres ce dossier,et tu double cliques sur le fichier ie-ads.reg. Voilà ! normalement tu reçois un message te demandant si tu veux ajouter le contenu de ce fichier dans le registre:il faut cliquer sur "yes"(ou "oui").Tout simple mais très efficace! @+

Tu parles de fichier, ou des lignes à cocher dans hijackthis?? si c'est des fichiers que tu parles, certains ne sont plus présents sur le disque dur et c'est normal : il faut juste s'en assurer. Si tu parles de certaines lignes dans hijackthis(les lignes 016 par exemple et certaines 04) c'est normal aussi! Brute Force Uninstaller aura fait son travail et du coup, certaines lignes n'apparaissent plus dans hijackthis(j'aurais dû te le dire!) @+

re! c'est pas grave ,continue la procédure jusqu'au bout