Thanos

re! Ok Smitfraud a disparu visiblement!Panda a mis un fichier en évidence qu'il faut éliminer=> - Redémarre en mode sans échec - Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime le fichier en gras dans C:\WINDOWS: C:\WINDOWS\smdat32m.sys * Supprime Smitfraudfix + L2Mfix. * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok ouvre Firefox=>menu Outils=>Options=> Vie Privée=> Cookies=>clique sur le bouton "Supprimer les cookies". * Redémarre et refais un dernier scan chez Panda

scuse la question bête mais tu n'as pas la possibilité de passer par une clé usb?(ou une disquette)

salut gandalf67 Pourquoi passer par Word? (4 pages?? ) Est ce que tu ne peux pas copier/coller directos le log généré par Hijackthis ? -tu lances hijackthis. -tu cliques sur "Do a system scan and save a log file". -tu colles le rapport ici => dis nous si ca marche pas

salut ng_lo Il y a encore du nettoyage!! Est ce que tu peux poster stp le rapport d'Ewido que tu as fait en mode sans échec? Relance Smitfraudfix et sélectionne l'option 3 pour effacer la liste des sites de confiance et sensibles (lignes HijackThis O15). Poste stp le rapport d'Ewido + un nouveau rapport hijackthis

salut LOP est présent sur ton pc => Télécharge lopxp de Moe31 et Balltrap34: -Dézippe-le sur ton bureau(clic droit dessus > extraire tout) -Lance lopxp.bat. -Poste le rapport généré stp. Est ce que tu reçois un message d'alerte? Stp , fais analyser ce fichier (en gras)=> C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm38.exe 1- chez Jotti => http://virusscan.jotti.org/ 2- chez Virustotal=> http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier cnmsm38.exe que tu trouveras en allant dans le dossier C:\WINDOWS\System32\spool\DRIVERS\W32X86\3 Tu cliques une fois sur le fichier cnmsm38.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! Si tu ne parviens pas à voir ce fichier, fais ceci => Peux tu faire un scan en ligne ici? => -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial ou là si ca ne marche pas => Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp.

ok! tu vois la différence! Allons y => Étape 1: Télécharge ATF Cleaner by Atribune sur ton bureau. Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: Double cliquer sur smitfraudfix.cmd Sélectionner 2 pour supprimer les fichiers responsables de l'infection. Répondre O (oui) à la question Voulez-vous nettoyer le registre ? afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Étape 4: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 5: Redémarre normalement et fais un scan ici => -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Poste stp les rapports : -de smitfraudfix fait avec l'option 2 -du nouveau scan fait avec hijackthis en mode normal. -du scan fait chez Panda @+

bienvenue ducati On ne parle pas de formatage ici :c'est interdit par la charte du forrum On doit pouvoir te donner un coup de main pour nettoyer ton pc: commence stp comme ceci , c'est simple et efficace => http://forum.zebulon.fr/index.php?showtopic=83986 après ca reviens coller ici ton rapport hijackthis

salut arnaud paris Elimine la version de Smitfraudfix présente sur ton pc !! La version est largement dépassée! tu as la version 2.16=> on en est à la version 2.60! Aussi ,stp récupère la bonne version à partir du lien que je t'ai collé plus haut et recommence. @+

salut a beluga Bien, Spy Sweeper a mis en évidence pas mal de clés /fichiers infectés: est ce que le rapport est complêt? je m'attendait à voir ceci en fin de rapport => Tu as bien effectué l'effacement en mode sans échec? en mode normal tu ne pourras pas l'éliminer. -Télécharge la dernière version de Killbox ici et met le sur ton bureau. * Ouvre Killbox et dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci: C:\WINDOWS\cfg32.exe -Assure toi que la case "Delete on Reboot" soit cochée. Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » : répondre NON Ainsi de suite tu entres les chemins de tout les fichiers=> C:\WINDOWS\System32\wnstssv.exe à la fin , le même message va s'afficher: « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement. * Fais stp analyser ces fichiers pour lesquels il n'y aucune info => dans le répertoire: C:\WINDOWS\System32 , trouve les fichiers suivants => nsb8D.dll key.~ -Fais les analyser ici: 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Par exemple=> Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier nsb8D.dll que tu trouveras en allant dans le dossier C:\WINDOWS\System32 Tu cliques une fois sur le fichier nsb8D.dll (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! Fais pareil stp pour ceux ci => dans le répertoire C:\windows REGGOTO.INI yfesefmf.ini -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial @+ tard

bonjour maximof Très bien ! si Ewido n'a rien trouvé c'est bon signe! Un oubli de ma part sur ma dernière procédure!!désolé!(rien de méchant) => *Supprime le fichier en gras dans C:\WINDOWS: C:\WINDOWS\ALCXMNTR.EXE => petit spyware installé par Realtek AC97 Audio - vide la corbeille. Un dernier scan ici si tu veux bien=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial après ca ca devrait être bon

salut arnaud paris ,tari Comme te l'as dit tari, le pc est infecté !Fais ceci pour voir l'infection => Télécharge SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive smitfraudfix.zip sur ton bureau. Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport et rechercher les fichiers responsables de l'infection. Poste ce rapport stp

salut Comme te l'as dit gggr, il est préférable de lancer hijackthis et de coller le rapport à la suite, car un malware amène souvent des amis! Pour nettoyer ton pc , suit cette procédure=> http://forum.zebulon.fr/index.php?showtopic=83986 après ca on te dira si tout est bon

j'ai pas bien compris ta dernière phrase Allons y pour la suite : Étape 1: * Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"=- [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService] -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis "Bureau". -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remove.reg -Dans le champs"Type" en bas de page ,choisis: tous les fichiers -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! =>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer: si ce n'est pas le cas,reprends les informations ci dessus et recommence! Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: *Supprime les fichiers en gras dans C:\WINDOWS: C:\WINDOWS\cfg32.exe C:\WINDOWS\wiaservc.log *Supprime les fichiers en gras dans C:\WINDOWS\System32: C:\WINDOWS\System32\ALX7b.exe C:\WINDOWS\System32\tpuninstall.exe C:\WINDOWS\System32\w00eb103.ini C:\WINDOWS\System32\ppicon126.ico C:\WINDOWS\System32\lo2.txtt C:\WINDOWS\System32\wnstssv.exe Étape 4: *Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 5: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 6: Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/land/karangatria...lefr&ac=webroot Clique sur "Télécharger la version test". Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Poste stp le rapport de Spy Sweeper

ok ! merci je regarde tout ca et te laisse une procédure

re! Excuse, mais il manque la partie suivant sur ton rapport => poste ce qu'il y a sous cette rubrique (ne sélectionne pas ce qu'ily a d'antérieur à cette année!) Ceci dit je voit déjà un fichier lié à une infection! voyons la suite Edit: met stp des xx à la place des t dans le http de ton adresse : ca évitera qu'on clique dessus (je parle du site de casinos!)

salut ng_lo Je n'ai pas pu répondre plus tôt ,le forum étant en chantier LOL! Tu n'a mis que le rapport de l'option 1 de Smitfraudfix!! l'option 1 nous montre quels sont les fichiers infectés présents sur le pc après ca il faut lancer l'option 2 en mode sans échec. Je récapitule donc! => 1) tu lances smitfraudfix et tu lances l'option1 : ca c'est bon(le rapport que tu as posté). 2) tu redémarres impérativement en mode sans échec. 3) tu relances SmitfraudFix.cmd et tu Sélectionnes 2 pour supprimer les fichiers responsables de l'infection. Tu postes le rapport de l'option 2 dans ton prochain message. 4) toujours en mode sans échec , tu lances ATF-Cleaner. 5) tu lances Ewido et tu scannes le pc. 6) tu redémarres : - tu relances windatfindbat : tu postes le rapport. - tu postes le rapport d'Ewido. - tu postes le rapport hijackthis. voilà, pour les détails, regarde mon précédent post et suis les étapes(c'est pas tres long en fait!) Edit:en te relisant j'ai l'impression que tu n'as pas pû poster le reste des rapports à cause du problème de fermeture du forum, je me trompe ? @+

salut a beluga Un problème pour poster hier et aujourd'hui sur le forum! Tout est rentré dans l'ordre,continuons! J'ai besoin d'un rapport rapide comme ceci stp (pour voir ou tu en es)=> Télécharge windatfindbat et dézippe le sur ton bureau. Lance le fichier windatfind.bat en double cliquant dessus. Une fenêtre DOS va s'ouvrir brièvement, et un fichier texte va apparaitre: poste stp le résultat en sélectionnant juste les 30 derniers jours.

salut a beluga merci pour le rapport! je reviens ce soir pour poster

salut Ok le dernier rappport hijackthis ne montre pas d'infection, mais ce n'est pas fini! Stp fais comme je te demandais le scan en ligne chez Panda!=> Je n'ai pas d'infos très claires au sujet de cette dll => mshta.dll Aussi stp je vais te demander de la faire analyser en ligne comme plus haut chez Jotti et virusscan => 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier mshta.dll que tu trouveras en allant dans le dossier C:\WINDOWS\system32 Tu cliques une fois sur le fichier mshta.dll (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! Fais gaffe avec ce type de logiciel =>uTorrent ces logiciels de P2P sont des nids à Spywares!! Tiens, jette un oeil sur ce topic de tesgaz pour comprendre comment ca se passe=> http://forum.zebulon.fr/index.php?showtopic=85544 @+tard

salut teiseken C'est mieux ,mais pas encore ca!! As tu utilisé ZebUtility?? si ce n'est pas fait, n'hésite pas! Je me demande si Recguard n'est pas responsable de cette lenteur... As tu créé tes cd de restauration HP? si ce n'est pas fait crée les! Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE -Ferme tous les programmes et clique sur "Fix Checked" Redémarre le pc et dis moi ce qu'il en est

salut ng_lo A présent Smitfraudfix prend en compte cette nouvelle variante présente sur ton pc! merci à S!RI pour sa réactivité On va pourvoir virer cette daube=>à faire dans l'ordre : Étape 1: - Elimine la version de Smitfraudfix présente sur ton pc. - Télécharge ATF Cleaner by Atribune sur ton bureau. - Met Ewido à jour et quitte le programme. Étape 2: A nouveau : Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. Étape 3: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 Étape 4: Relance SmitfraudFix.cmd Sélectionne 2 pour supprimer les fichiers responsables de l'infection. Répond O (oui) à la question Voulez-vous nettoyer le registre ? afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 5: * Lance Ewido et clique sur "scanner" puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) Étape 6: Redémarre normalement et poste un nouveau rapport hijackthis et les rapports de smitfraudfix , ainsi qe le rapport d'Ewido. Le rapport de windatfindbat n'est pas complêt ! peux tu s'il te plait le refaire et poster ? (il manque les éléments présents sous " C:\WINDOWS" et "C:\DOCUME~1\ng_lo\LOCALS~1\Temp") ne recopie que les ce qui concerne 2006) @+

Tu as envoyé le fichier chez S!RI ? super merci Peux tu de plus pour y voir un peu plus clair lancer ce fichier => Télécharge windatfindbat et dézippe le sur ton bureau. Lance le fichier windatfind.bat en double cliquant dessus. Une fenêtre DOS va s'ouvrir brièvement, et un fichier texte va apparaitre: poste stp le résultat en sélectionnant juste les 30 derniers jours. @+ tard pour la suite

salut et bienvenue sur le forum Le pc est infecté, suis la procédure décrite ici: c'est rapide et efficace=> http://forum.zebulon.fr/index.php?showtopic=83986 Après ca ,reviens poster un nouveau rapport hijackthis pour vérification

ok : le rapport HijackThis est propre. Ewido a fait son petit nettoyage. Ces logiciels n'ont rien à voir! Smitfraudfix est un utilitaire bien précis qui ne sert que cette fois!(il élimine les infections de type Desktophijack) tu peux éliminer smitfraudfix.Regsearch?? tu parles du programme de Bobbi Flekman ? il sert lui, à faire des recherches dans la base de registre. Quant à CCLeaner, il sert à nettoyer le pc et Unlocker permet de déverrouiller des fichiers récalcitrants afin de les supprimer Ca s'annonce bien!! Une dernière vérif stp=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial @+

salut Dis moi pour info : tu n'as lancé que l'option 1 de smitfraud fix?? Il nous serait très utile que tu expédies ce fichier(en gras) à S!RI,concepteur de smitfraudfix=> C:\WINDOWS\system32\erxbx.dll Si tu ne le voit pas fais ceci => *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! expédie ce fichier erxbx.dll ici => http://siri.urz.free.fr/upload/ merci!! ca nous permet de contrer l'infection. Après ca, on attaque le reste