Thanos

salut magounette et bienvenue sur le forum Le trojan a certainement été éradiqué par Ewido, mais il y a des restes à nettoyer!(d'ou le message d'erreur au démarrage!) Je vois que tu as utilisé Antiivir:est ce que tu l'as passé en mode sans échec comme indiqué dans notre procédure?as tu nettoyé tous les répertoires temporaires?=> http://forum.zebulon.fr/index.php?showtopic=83986

salut @ tous viniou, je vois encore laprésence de cette ligne=> O17 - HKLM\System\CCS\Services\Tcpip\..\{BA44CA6C-70A0-47C8-8A89-1D6E95D11F20}: NameServer = 85.255.115.18 85.255.112.61 Je te poste une petite procédure pour t'en débarrasser, car l'adresse qui y figure est celle d'un serveur bien douteux quelque part ... en Ukraine @ tout de suite Bonjour chercheur je te laisse continuer je ne savait pas que tu était sur le forum

salut Me revoilà LOL! L'ami Tirol a justement une procédure pour nous débarrasser de ces clés listées en 02 (merci à lui ) Ma méthode étant un peu plus compliquée ,on va utiliser la sienne!Si jamais ca ne fonctionne pas(et oui, les droits ont été modifiés sur ces clés!! d'ou cette difficulté à les éliminer!), je te poste en seconde partie une petite procédure(je sais une de + ,mais c'est rapide )pour obtenir des infos sur les permissions(merci à Kim!) et pouvoir les tuer de façon définitive!MAC_GIVRER ,tu mobilise les foulesLOL! 1ère étape: Télécharger et installer Registrar Lite version 2.00 Double-cliquer l'icône violet Registrar Lite présent sur le bureau. Copier la ligne ci-dessous et la coller dans le champ "Address" (situé en haut) du programme: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Cliquer le bouton "Go" . du côté droit il chargera tous tes BHO (on ne voit qu'un lot de "nombres") clique un fois sur la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects dans la panneau de gauche.Elle va se surligner en bleu. vas dans le menu "File" et sélectionne "Export". Dans la fenêtre qui s'ouvre, dans "Enregistrer dans" choisis le Bureau.Dans "Nom de Fichier",met le nom "savbho" et clique sur "enregistrer". dans le panneau de droite , rechercher les entrés suivantes : {07FB823E-F9DE-12D2-61F9-F3BC18F30BF8} {091F1994-2589-E2A5-3267-A7E14CC24368} {0D74D509-86ED-D9B2-0B70-264B010B3016} {28A9AC69-9562-7657-FFA5-4E4541172B83} {3F83AEC3-983B-9E28-2594-47C2D6EF242D} {5677AB6A-2934-E737-F233-AF849B02D48F} {56CEBCF1-61DF-21E9-D514-D3171D072D49} {6D1DEAEB-94B4-8C6D-EA70-4785C21F6B00} {762249DB-8EAF-A1EF-3C48-5803714563C5} {77B7DA97-BD58-F49D-785C-33F169AC9529} {7A30E1DF-0A72-AEB7-7E44-79412564B4A7} {82602C94-61A3-18EF-A63A-D86BBC88EE8D} {83E8CADD-26D4-6350-99CD-7D08E235DEE6} {87ED4484-67AC-6172-0910-23077C45430B} {A8995D1C-4882-29FE-B52D-2D99FF80D879} {D9AC509D-1E9F-D513-D75E-449AC8A46BE2} {DBD3F02E-11A4-02EE-B06F-9E0E988D0090} [*]Cliquer-droit sur chacun et choisir Properties [*]Cliquer sur le bouton "Permissions" : une nouvelle fenêtre va s'ouvrir . [*]Cliquer sur le bouton "Paramètres avancés" [*]Cocher la case: 'Hérite de l'objet parents les entrées d'autorisation...' [*]Cliquer "OK"deux fois, et cliquer-droit sur chacun des BHO suivants: {07FB823E-F9DE-12D2-61F9-F3BC18F30BF8} {091F1994-2589-E2A5-3267-A7E14CC24368} {0D74D509-86ED-D9B2-0B70-264B010B3016} {28A9AC69-9562-7657-FFA5-4E4541172B83} {3F83AEC3-983B-9E28-2594-47C2D6EF242D} {5677AB6A-2934-E737-F233-AF849B02D48F} {56CEBCF1-61DF-21E9-D514-D3171D072D49} {6D1DEAEB-94B4-8C6D-EA70-4785C21F6B00} {762249DB-8EAF-A1EF-3C48-5803714563C5} {77B7DA97-BD58-F49D-785C-33F169AC9529} {7A30E1DF-0A72-AEB7-7E44-79412564B4A7} {82602C94-61A3-18EF-A63A-D86BBC88EE8D} {83E8CADD-26D4-6350-99CD-7D08E235DEE6} {87ED4484-67AC-6172-0910-23077C45430B} {A8995D1C-4882-29FE-B52D-2D99FF80D879} {D9AC509D-1E9F-D513-D75E-449AC8A46BE2} {DBD3F02E-11A4-02EE-B06F-9E0E988D0090} [*]Choisir "delete". [*]Quitter Registrar Lite. Re-démarrer le PC et poster un nouveau rapport HijackThis. Note:je t'ai fait effectuer une sauvegarde de la clé avant d'y faire les modifications.Si tout fonctionne bien tu pourra l'éliminer. Dans le cas contraire(fausse manip) tu pourras la restaurer en double cliquant dessus. 2ème étape: => si l'étape 1 a echoué(que les clés ne se sont pas effacées) Télécharger RegDACL sur le Bureau http://www.heysoft.de/nt/reg/doc/RegDACLE.zip Créer un dossier Regdacl sur le Bureau. Clic droit sur un espace vide du Bureau, Sélectionner Nouveau Dossier sur le menu et le nommer Regdacl Dézipper les fichiers de RegDACLE.zip dans le nouveau dossier Regdacl sur le Bureau. Copier / coller le texte suivant dans le Bloc-Notes. Faites en sorte que Retour automatique à la ligne n'est pas coché (Menu Format) Sauvegarder dans le dossier Regdacl sur le Bureau comme readperm.bat. Sauver comme: Type: Tous les fichiers (pas comme un document texte) Nom: readperm.bat Ouvrir le dossier Regdacl sur le Bureau, double-clic sur readperm.bat. Une fenêtre DOS sera visible, ceci est normal. Le Bloc-Notes ouvrira regperms.txt et regkey.txt, poster le contenu s.v.p Ne pas effacer regkey.txt car il contient une sauvegarde de la BDR. Si le Bloc-Notes n'ouvre pas automatiquement les fichiers, aller dans le dossier RegDacl, localiser regperms.txt et regkey.txt et poster le contenu. Edit: tornado me fait remarquer que Panda a repéré ceci=> Spyware:spyware/dluca No Désinfecté Registre Windows Avec Regsearch, peut tu faire une recherche sur les éléments suivants et poster le rapport , stp?=> wdinfo wdwctrl Pas d'inquiêtude ce sont des traces du spyware, mais on peux peut être nettoyer! Note: lance la recherche sur ces éléments un par un!!(dans la précédente recherche , tu as collé 3 fois le même élément sur la même ligne, du coup ca ne marche pas!).

re MAC_GIVRER non je ne t'ai pas oublié J'ai préparé une petite procédure , que je te posterait aujoud'hui! (en attente d'information sur ces lignes qui ne veulent pas partir!) @ toute

salut schpountz Ton problème n'est pas forcément d'origine infectieuse!Il peut avoir différentes origines.Il est possible qu'il y ait un probleme de synchronisation du modem par exemple.Plusieurs pistes à explorer! -Ouvrir une invite de commande par Démarrer/Exécuter (taper cmd)et lancer un ping sur l'adresse 127.0.0.1 pour voir si c'est l'ordinateur qui est en cause (dans ce cas un message te dira que la requête n'as pas trouvé l'hôte ,sinon tu reçois le temps de réponse de ta machine) -Si le ping fonctionne tu tapes IPCONFIG/ALL pour obtenir ta passerelle par défaut.Tu notes cette adresse,et tu fais un ping dessus.Si tu obtiens un message d'erreur ; c'est que tes paramètres IP sont mal configurés(ou que la passerelle est défectueuse voire éteinte!). -Si ce ping fonctionne, relance en un avec l'adresse d'un FAI par exemple=> ping 193.252.122.103 (pour FT ) si ca échoue, c'est possible que le FAI soit en cause... (note: en lançant une commande ping, le firewall risque de se déclencher et t'envoyer une alerte!) -Essayer le modem sur un autre pc(il arrive parfois qu'il soit défectueux). Bon ce ne sont que des pistes!! je ne suis pas calé en connexions LOL! mais rien ne t'empêche de poster un rapport hijackthis si tu veux qu'on y jette un oeil!comme ceci=> http://forum.zebulon.fr/index.php?showtopic=83986 Si ce n'est pas dû à un malware, il faudra poster un message sur le forum "Internet & Réseaux" ou des gens bien plus compétent que moi pourront te répondre

salut MAC_GIVRER Etonnant que tu n'ais pas "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" alors qu'ils sont détectés (les bho)par hijacthis et qu'on en voit bien la trace dans le registre...! les clés que l'on veut effacer sont manifestement protégées.... je te prépare une manip ! Je suis sûr le point de partir,@ toute à l'heure

salut MAC_GIVRER Ok , j'avais besoin de savoir car certaines fois , il arrive que l'internaute oublie de le faire! On va utiliser Autoruns de Sysinternals pour les éliminer ces fichues BHOs!!=> Télécharge le logciel ici => http://www.sysinternals.com/Utilities/Autoruns.html Dézippe le dans un dossier . * Déconnecte toi d'internet.(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) * Ouvre le dossier que tu as créé et double clique sur autoruns.exe pour lancer le programme.Le programme vas démarrer un scan du pc , patiente! * Vas à la rubrique "Internet Explorer" (clique dessus pour afficher les informations). * Repère la ligne suivante => * Les BHO que nous voulons éliminer vont apparaitre sous cette rubrique. * Clique sur la ligne qui correspond à cette BHO , elle va être surlignée en bleu: {07FB823E-F9DE-12D2-61F9-F3BC18F30BF8} * Fais un clic droit sur cette ligne, et dans le menu qui vient de se dérouler, sélectionne "Delete". *Fais de même pour les lignes suivantes=> {091F1994-2589-E2A5-3267-A7E14CC24368} {0D74D509-86ED-D9B2-0B70-264B010B3016} {28A9AC69-9562-7657-FFA5-4E4541172B83} {3F83AEC3-983B-9E28-2594-47C2D6EF242D} {5677AB6A-2934-E737-F233-AF849B02D48F} {56CEBCF1-61DF-21E9-D514-D3171D072D49} {6D1DEAEB-94B4-8C6D-EA70-4785C21F6B00} {762249DB-8EAF-A1EF-3C48-5803714563C5} {77B7DA97-BD58-F49D-785C-33F169AC9529} {7A30E1DF-0A72-AEB7-7E44-79412564B4A7} {82602C94-61A3-18EF-A63A-D86BBC88EE8D} {83E8CADD-26D4-6350-99CD-7D08E235DEE6} {87ED4484-67AC-6172-0910-23077C45430B} {A8995D1C-4882-29FE-B52D-2D99FF80D879} {D9AC509D-1E9F-D513-D75E-449AC8A46BE2} {DBD3F02E-11A4-02EE-B06F-9E0E988D0090} Un message de confirmation apparaitra à chaque fois, répond "OUI". Une fois ceci fait, en haut de page, sélectionne le menu "File" et choisis "Save as". Une fenêtre s'ouvre, enregistre le rapport sur ton bureau. Copie/colle le contenu du rapport dans ton prochain message Note:Pour plus d'infos(et des captures d'écran) tesgaz a fait un beau tutoriel sur ce programme ici (tres simple) => http://speedweb1.free.fr/forum-tesgaz/view...c.php?p=151#151

salut @ tous D'accord avec Pitcat, LOL!! j'ai jamais vu ca encore... ils sont sympa chez Télé2 Comment ils font pour savoir que ton pcest infecté??ils t'ont dit autre chose(bizarre )

salut @ tous Super tuto tesgaz, comme d'hab!Process Explorer que j'ai depuis un bail sur mon pc et que j'avais oublié....(ainsi que Autoruns!)Merci de les remettre au goût du jour On voit tout de suite l'intérêt de ce tool quand un malware interdit l'utilisation du taskmgr!

salut MAC_GIVRER Bon, rien ne vas plus On va faire juste une petite recherche sur ces clés pour connaitre leur emplacement dans le registre=> - Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle les entrées en bleu dans les lignes de la zone de recherche: {07FB823E-F9DE-12D2-61F9-F3BC18F30BF8} {091F1994-2589-E2A5-3267-A7E14CC24368} {DBD3F02E-11A4-02EE-B06F-9E0E988D0090} - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel -Si la manipulation ne marche pas, entre les éléments un par un. Je n'entre pas toutes les occurences ans regsearch(ca serait trop long!) . Question: il y a une chose que je ne comprend pas => dans ton nouveau rapport hijackthis, on retrouve encore ces lignes=> or je t'avais demandé de les cocher puis les fixer dans mon précédent message Dis moi, juste pour savoir: est ce que tu cliques bien sur le bouton "Fix Checked" apres avoir coché les cases??Sinon rien n'est effectué..! Rééssaie si ce n'est pas le cas et reposte un rapport stp. Habituellement ces lignes 02 disparaissent sans broncher! @!

ok me revoilou! On va faire ca en deux étapes: Lorsque tu as posté ton rapport fait avec WinPFind , on a pu y voir quelques éléments qu'il faut éliminer dans la base de registre(merci à Kim ). Vire les fichiers reg que l'on a créé précédemment stp. Étape 1: *Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] "{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}"=- "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=- "{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}"=- "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=- "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcxMonitor] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Internet Optimizer] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System service79] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:00000091 -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis"Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:kill.reg -Dans le champs"Type" en bas de page ,choisis: tous les fichiers -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr10.hpwis.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr10.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr10.hpwis.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr10.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE -Ferme tous les programmes et clique sur "Fix Checked" Étape 4: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les fichiers en gras dans C:\WINDOWS: C:\WINDOWS\ALCXMNTR.EXE Ce fichier se trouve normalement dans ce répertoire, si tu ne le vois pas; lance une recherche! C:\WINDOWS\ccqtkld.exe C:\WINDOWS\jpjlcwpj.exe => je te les remet au cas où tu ne les as pas effacé! Étape 5: -Double clique sur le fichier kill.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 6: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 7: * Redémarre normalement. * Fais analyser ce fichier s'il te plait pour savoir si il est infecté : C:\WINDOWS\bootstat.dat (peut être un trojan) 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html communiquer les 2 rapports. Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier bootstat.dat que tu trouveras en allant dans le dossier C:=>WINDOWS .Tu cliques une fois sur le fichier bootstat.dat (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! * Relance WinPFind comme tu l'as fait précédemment (voir mon Message #34 plus haut) et poste le rapport stp. * poste un nouveau rapport Hijackthis(en mode normal) pour vérification. Allez on touche au but! apres ca la manip avec Regdacl!

salut dave36 Super!! les lignes 015 ont disparu!! Content que ton pc aille mieux, la désinfection va se faire beaucoup plus aisément Quelques remarques pour ce rapport que tu as posté=> - tu ne dois pas installer hijackthis dans un répertoire temporaire!désinstalle le et met le dans C:\Program Files par exemple.(sinon tu ne bénéficiera pas des sauvegardes) - Pense à désinstaller Antivir ou Norton. Ton pc risque de ramer voire planter si les deux logiciels tournent en même temps! => c'est lui le responsable de tes misères!! quoiqu'on en dise , c'est un nid à malwares : prends le temps de lire ce topic ou tesgaz en fait la démonstration => http://forum.zebulon.fr/index.php?showtopic=85544 Si d'un côté tu désinfectes, et que de l'autre côté tu utilises un logiciel de P2P... tu risques de te retrouver tôt ou tard dans la même situation!! (pas de morale!! juste pour te mettre au jus!). - Présence du spyware installé par Logitech, mais rien de méchant! Il faut à présent éliminer le reste de l'infection dans ta base de registre! Je refais le script pour Regdacl , et je te poste la procédure. Ca va fonctionner car la réparation a bien fonctionné! @ toute à l'haure camarade de nuit

bonjour MAC_GIVRER Décidemment toujours présentes ces sangsues!! Bon je te rassure : d'une part les fichiers associés n'existent plus, d'autre part tu as bien fait de passer Spybot qui lui a détecté et éliminé les restes de CWS!(alors que Cwshredder , lui n'a rien trouvé? ) Ceci dit, il est quand même préférable de les virer du registre ces clés! aussi on va tenter autre chose: un autre fichier reg que tu vas vas créer,un peu plus complêt( élimine l'ancien fichier au passage!) Étape 1: Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07FB823E-F9DE-12D2-61F9-F3BC18F30BF8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07FB823E-F9DE-12D2-61F9-F3BC18F30BF8}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{091F1994-2589-E2A5-3267-A7E14CC24368}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{091F1994-2589-E2A5-3267-A7E14CC24368}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D74D509-86ED-D9B2-0B70-264B010B3016}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D74D509-86ED-D9B2-0B70-264B010B3016}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28A9AC69-9562-7657-FFA5-4E4541172B83}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28A9AC69-9562-7657-FFA5-4E4541172B83}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3F83AEC3-983B-9E28-2594-47C2D6EF242D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3F83AEC3-983B-9E28-2594-47C2D6EF242D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5677AB6A-2934-E737-F233-AF849B02D48F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5677AB6A-2934-E737-F233-AF849B02D48F}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56CEBCF1-61DF-21E9-D514-D3171D072D49}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56CEBCF1-61DF-21E9-D514-D3171D072D49}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D1DEAEB-94B4-8C6D-EA70-4785C21F6B00}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D1DEAEB-94B4-8C6D-EA70-4785C21F6B00}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{762249DB-8EAF-A1EF-3C48-5803714563C5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{762249DB-8EAF-A1EF-3C48-5803714563C5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77B7DA97-BD58-F49D-785C-33F169AC9529}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77B7DA97-BD58-F49D-785C-33F169AC9529}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A30E1DF-0A72-AEB7-7E44-79412564B4A7}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7A30E1DF-0A72-AEB7-7E44-79412564B4A7}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{82602C94-61A3-18EF-A63A-D86BBC88EE8D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{82602C94-61A3-18EF-A63A-D86BBC88EE8D}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83E8CADD-26D4-6350-99CD-7D08E235DEE6}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83E8CADD-26D4-6350-99CD-7D08E235DEE6}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{87ED4484-67AC-6172-0910-23077C45430B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{87ED4484-67AC-6172-0910-23077C45430B}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8995D1C-4882-29FE-B52D-2D99FF80D879}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8995D1C-4882-29FE-B52D-2D99FF80D879}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D9AC509D-1E9F-D513-D75E-449AC8A46BE2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9AC509D-1E9F-D513-D75E-449AC8A46BE2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBD3F02E-11A4-02EE-B06F-9E0E988D0090}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBD3F02E-11A4-02EE-B06F-9E0E988D0090}] -Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=> -Choisis "Enregistrer sous" et choisis"Bureau" -Dans le champs "Nom du fichier" en bas de page donne le nom suivant:amort.reg -Dans le champs"Type" en bas de page ,choisis: tous les fichiers -ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier" -quitter le Bloc Notes. ne clique pas sur le fichier maintenant! -Une fois que tu as créé ton fichier reg, son icône doit ressembler à ceci=> si ce n'est pas le cas il faut recommencer! Tu vas scanner ton pc avec Adaware SE. Je sais , ca fait quelques logiciels à télécharger, mais j'en profite pour te refiler quelques programmes que tu vas pouvoir garder apres avoir désinfecté ton pc Ils te serviront à scanner ton pc pour vérifier que tout vas bien.De plus,ca vas nous permettre de bien nettoyer ton pc ! -télécharge Ad-awareSE: http://www.ordi-netfr.com/adawarese.html http://www.lavasoft.de/support/download/#free Son tuto: http://home.tiscali.be/schouppeguy/adawarese/adawase.htm Installe le : lorsque l'installation est terminée, le message suivant s'affiche=> - Ad Aware SE has been succesfully installed.Press the "Finish" button to exit this installation. Avant de cliquer sur Finish, décoche la case"Perform a full system scan now". Laisse les autres cases cochées: la mise à jour doit s'effectuer.Quitte le programme. Étape 2: * Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 Étape 3: -Clique sur le fichier amort.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Étape 4: * Ouvre Adawre SE et lance le scan du système.(en cliquant sur "Scanning" ou "Analyser").Choisis "Analyse système complête" puis sur "Suivant".Conserve le rapport stp.Quitte le programmme. Étape 5: *Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: (no name) - {07FB823E-F9DE-12D2-61F9-F3BC18F30BF8} - (no file) O2 - BHO: (no name) - {091F1994-2589-E2A5-3267-A7E14CC24368} - (no file) O2 - BHO: (no name) - {0D74D509-86ED-D9B2-0B70-264B010B3016} - (no file) O2 - BHO: (no name) - {28A9AC69-9562-7657-FFA5-4E4541172B83} - (no file) O2 - BHO: (no name) - {3F83AEC3-983B-9E28-2594-47C2D6EF242D} - (no file) O2 - BHO: (no name) - {5677AB6A-2934-E737-F233-AF849B02D48F} - (no file) O2 - BHO: (no name) - {56CEBCF1-61DF-21E9-D514-D3171D072D49} - (no file) O2 - BHO: (no name) - {6D1DEAEB-94B4-8C6D-EA70-4785C21F6B00} - (no file) O2 - BHO: (no name) - {762249DB-8EAF-A1EF-3C48-5803714563C5} - (no file) O2 - BHO: (no name) - {77B7DA97-BD58-F49D-785C-33F169AC9529} - (no file) O2 - BHO: (no name) - {7A30E1DF-0A72-AEB7-7E44-79412564B4A7} - (no file) O2 - BHO: (no name) - {82602C94-61A3-18EF-A63A-D86BBC88EE8D} - (no file) O2 - BHO: (no name) - {83E8CADD-26D4-6350-99CD-7D08E235DEE6} - (no file) O2 - BHO: (no name) - {87ED4484-67AC-6172-0910-23077C45430B} - (no file) O2 - BHO: (no name) - {A8995D1C-4882-29FE-B52D-2D99FF80D879} - (no file) O2 - BHO: (no name) - {D9AC509D-1E9F-D513-D75E-449AC8A46BE2} - (no file) O2 - BHO: (no name) - {DBD3F02E-11A4-02EE-B06F-9E0E988D0090} - (no file) O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto -Ferme tous les programmes et clique sur "Fix Checked" Étape 6: *Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) + le rapport de Adaware SE. Ca devrait être bon ce coup ci

salut Lapin Blanc Look2Me était bien présent sur ton pc comme le montrait rapport de L2MFix!! Seulement, l'option 1 que je te demandais de passer n'effacait pas l'infection,elle est là pour montrer les fichiers! L2Mfix n'a pas été inutile! il fallait apres ca utiliser l'option 2 , mais j'ai pas eu le temps de te répondre! Look2me-destroyer s'en est occupé, tant mieux si tu as conservé le rapport, peux tu le poster stp?(Look2Me-Destroyer.txt) Ton pc est encore infecté! La présence d'un trojan notamment => C:\WINDOWS\SYSTEM32\winmyy32.dll Ewido va s'en occuper : Étape 1: -Télécharge la version d'essai d'Ewido : et installe le (important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu")Met le à jour. Télécharge ATF Cleaner by Atribune sur ton bureau. Étape 2: * Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 4: * Lance Ewido et clique sur "scanner" puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) Étape 5: *Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido

salut dave36 Attends ne pars pas si vite Ton système est réparé, c'est une bonne chose Maintenant, il reste à finir la désinfection et sécuriser ton pc!! J'imagine bien que ca t'as un peu contrarié que rien ne fonctionne comme il faut et que les procédures de désinfection aient échouées,mais à présent ca doit aller beaucoup plus vite! Si tu en as le courage dave, il faut faire ces quelques manips: - rétablir les zones de protocole!(lignes 015 de ton rapport hijackthis) * Télécharge ce fichier sur le bureau. Extraies et double clique sur Fix_Protocol_zones_ranges.reg. Accepte lorsqu'il te demande de fusionner avec le registre. Reposte un nouveau rappport hijackthis apres ca pour voir si c'est réglé! -Apres ca si tu veux on doit éliminer les clés de registre infectées avec Regdacl .Il faudra juste que je modifie un peu le fix, pour y ajouter quelques clés. Je sais, je suis un peu maniaque, mais il faut faire les choses jusqu'au bout Tu dis que ton pc fonctionne bien à présent? est ce que tu as acces à Regedit? @+

salut Voilà ce qu'en dit Symantec=> Un peu alarmiste! mais tu peux si tu veux , poster un rapport hijackthis , qu'on y jette un oeil. La procédure à suivre=> http://forum.zebulon.fr/index.php?showtopic=83986 @+

Étape 1: -Télécharge ATF Cleaner by Atribune sur ton bureau. -Télécharge la version d'essai d'Ewido:ici : et installe le (important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu")Met le à jour.Quitte le programme.(ne lance pas le scan maintenant!). Étape 2: *Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Étape 3: * Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe -Ferme tous les programmes et clique sur "Fix Checked" Étape 4: *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime le fichier en gras dans C:\WINDOWS\System32: C:\WINDOWS\system32\nvsvcd.exe *Supprime le fichier en gras : C:\WINDOWS\web\related.htm * Vide la corbeille. Étape 5: -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:Windows Log Double clic dessus :dans le champs"Status du service" sélectionne "arrêté" dans le champs"Type de démarrage" sélectionne"désactivé" puis "Appliquer" puis"ok" Quitte les services. -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete Windows Log => clique sur [entrée] Un message t'avertis du succès de l'opération Quitte l'invite de commandes. Étape 6: * Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Étape 6: * Lance Ewido et clique sur "scanner" puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) Étape 7: *Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification ainsi que le rapport d'Ewido

salut maris et bienvenue sur le forum salut pitcat Ton pc est infecté par le troyan IRCBot-FP, on va t'aider à t'en débarrasser! Je lance une analyse.

salut badbobby ,bienvenue sur ce forum Commence par faire ceci stp: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. @+ tard

salut Lapin_Blanc et bienvenue sur le forum Ton pc est infecté entre autres par Look2Me , on va te donner un coupe de main pour t'en débarrasser! Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin.

Bizarre il marche bien pourtant! Essaie ici=> http://cwshredder.net/bin/CWShredder.exe @+ tard, je pars bosser

salut tout le monde kimi, tente de débusquer CWS.Aboutblank comme ceci=> -télécharge CWshredder et met installe le : http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe * Lance le programme et clique sur le bouton "Check For Updates".Autorise Cwshredder à accéder à internet si ton parefeu en fait la demande. * Lorsque tu as fait la mise à jour, un message "You are running the latest version of Cwshredder" s'affiche au milieu de la fenêtre. *Quitte le programme * Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée". Choisir le compte usuel (et non Administrateur). en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 * Lance Cwshredder, et clique sur "Fix" * Redémarre normalement et retente de modifier ta page de démarrage.

oh Watch is back !! He's back...avec ses faux positifs Ouaip, je sais pas ce qui se passe chez A², mais c'est pas la première fois qu'il détecté des malwares là où il n'y en a pas! Les prochaines mises à jour devraient résoudre le problème (si ce n'est déjà fait!) Je vais leur envoyer un petit mail avec ton rapport pour voir...! @+ Edit: en parcourant leur forum, on trouve cette discussion( à laquelle personne n'a encore répondu...!)=> http://forum.emsisoft.com/Default.aspx?g=posts&t=506

salut Aquarel Merci pour tes mots sympas n'hésite pas à consulter les autres forums de zeb et les articles si tu veux optimiser ton pc! Si tu repasses,penses à éditer ton premier message et met [résolu] dans le titre

salut hercut, angelique Tout à fait d'accord!! un petit exemple pour illustrer? jettez un oeil à la capture suivante=> http://img528.imageshack.us/my.php?image=mescaptures93uh.jpg Dans le rapport, les deux lignes R1 se rapportant à la page Neuf.fr sont considérées comme dangereuses... Le robot trouve des infections là où il n'y en a pas, et parfois ne détecte pas celle qui sont présentes..! Donc méfiance! @+