Thanos

Une question: l'icône du fichier Fix_Protocol_zones_ranges.reg que tu as sur le bureau, représente bien un cube de couleur bleu-vert? Si oui essaie de redémarrer ton pc en mode sans échec(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".Choisir le compte usuel (et non Administrateur). En mode sans échec double clique à nouveau sur le fichier . Normalement un message doit te demander si tu acceptes la fusion. Il y a plus de chance en mode sans échec.(on dirait qu'il y a une gêne en mode normal!) Essaie stp et dis moi si ca marche. Edit :pour ce qui est d'éliminer les restes de Bitdefender, Avast, Norton, Kaspersky, ne t'inquiêtes pas!ce n'est pas une priorité! pour le moment il va falloir faire fonctionner ces fichiers reg! Dis moi quand tu vas dans Démarrer/ Exécuter,et que tu tapes regedit dans le champs, est ce que le registre s'ouvre? Passe cet outil si tu veux bien pour nous assurer qu'un rootkit n'est pas présent=> 1)-Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau . Double-clique sur blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

re dave36 Bizarre, le fix en question (Fix_Protocol_zones_ranges.reg.) qui aurait dû éliminer les lignes 015 que tu vois ne fonctionne pas! Bon on va tenter autre chose:je te répond dans 10 mn

salut bruce lee linkin39 je recopie ici ton rapport => Voilà ce que tu vas faire maintenant => Redémarre en mode sans échec, relance SmitfraudFix.cmd Dans le menu, sélectionne 2 Poste le nouveau rapport puis un nouveau rapport HijackThis.Apres ca , il faudrait que tu suives la procédure de désinfection qu'a posté bruce lee: c'est tres simple et ca nettoiera ton pc!!

re linkin39 , je recopie ton rapport dans la discussion que tu as ouvert ici => http://forum.zebulon.fr/index.php?showtopic=91846 S'il te plait continue la discussion sur ce sujet en question et pas celle de Kawajacouille , je te postes une réponse

salut tout le monde Kawajacouille , la désinfection n'est pas encore faite....!Vous allez trop vite!!! Tu n'as passé que l'option 1 de Smitfraudfix, celle que l'on utilise pour vérifier si l'infection est présente. C'est l'option2 qui te débarrassera des fichiers vérolés!!! Reviens et continue comme ceci: Redémarre en mode sans échec, relance SmitfraudFix.cmd Dans le menu, sélectionne 2. Poste le nouveau rapport avec un nouveau log HijackThis. De plus ,fais ce scan en ligne stp: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan. Poste le rapport de Panda avec les autres. J'espère que tu repasseras sur le forum pour lire cette réponse et les conseils de sécurité qu'il faut appliquer,parce que ton pc est tres vulnérable!! pas de mise à jour faite (5 ans de retard et autant de failles de sécurité utilisées par les concepteurs de malwares...) @+

salut durandale La désinfection n'est pas finie durandale!!! Je reviens sur le problème que tu as rencontré => Est ce que tu as réussi à dézipper(décompresser) le fichier SmitfraudFix ?? c'est très important! Si oui , suis bien les indications et poste le rapport obtenu avec l'option 1 Je te recolle la manip: *Dézippe la totalité de l'archive dans un répertoire, double clique sur Smitfraudfix.cmd *Dans le menu, sélectionne 1 Poste le rapport ici. Dans ton précédent rapport hijackthis; on voit bien la présence de smitfraud: il n'est pas parti tout seul, c'est impossible C'est normal: tous les dossiers et fichiers cachés sont apparents pour te permettre d'éliminer les fichiers infectés (qui sont très souvent cachés !).C'est pour cela que bruce lee t'avait demandé de les rendre visibles!Ne les efface pas bien sûr! Laisse les affichés pour le moment et surtout poste le rapport de l'option 1 obtenu avec smitfraudfix!! Pour l'instant l'infection est toujours présente. Allez ,au boulot et si tu rencontres le moindre souci, moi ou un autre conseiller te guidera

salut FeIZocE, beemer Pour beemer: si tu rencontre des problèmes avec le pc et que tu penses qu'il est infecté, n'hésite pas à suivre la procédure de nettoyage ici => http://forum.zebulon.fr/index.php?showtopic=83986 puis tu crée un sujet pour toi et tu postes ton rapport hijackthis, qu'ony jette un oeil Pour FeIZocE : désolé je suis pas mal absent ces temps ci!! est ce que tu veux bien reposter un dernier rapport hijackthis stp: ca ne coûte rien et ca nous permettra de voir si tout est clean.Apres ca quelques conseils pour sécuriser ton pc

salut dave36 Soit gentil ne relance pas un nouveau topic à chaque fois, on n'y comprends plus rien! continue la discussion ici,ca évitera à un conseiller de faire une analyse pour rien! Bon dans le rapport que tu as posté ici(dans ton nouveaux sujet)=> http://forum.zebulon.fr/index.php?showtopi...=0entry710125 On peut voir que tu n'as pas utilisé correctement Fix_Protocol_zones_ranges.reg !! S'il te plait, recommence l'opération: 1)-Télécharge ce fichier sur le bureau. Extraies et double clique sur Fix_Protocol_zones_ranges.reg. Accepte lorsqu'il te demande de fusionner avec le registre. Fais ca et reposte un nouveau rapport hijackthis pour commencer. 2)- As tu bien utilisé le fichier batch que je t'ai collé dans la procédure avec RegDACL ?? pas l'impression car les clés sont encore présentes!un élément important, c'est l'extension du fichier=> N'oublie pas que lorsque tu as copié /collé le texte dans un fichier texte(notepad) , tu dois modifier l'extension du fichier qui vas par défaut ,être Fichiers texte(*.txt). Tu as bien modifié comme ceci?=> -Enregistrer ce fichier dans : Regdacl(le dossier que tu as créé et ou tu as dézippé le programme). -Nom du fichier : klegacy.bat -Type : tous les fichiers -cliquer sur Enregistrer Ensuite tu Ouvres le dossier Regdacl sur le Bureau, et tu double-cliques sur klegacy.bat Pour ce qui est de ces problèmes avec internet, il doivent se rêgler une fois le fichier Fix_Protocol_zones_ranges.reg utilisé. Je pense que tu ne l'as pas utilisé comme il faut car tu m'en a fait un copier/collé un peu plus haut!suis srupuleusement la manipulation plus haut. Si il y a une chose que tu ne comprends pas , n'hésite pas à me demander. Tiens moi au courant des choses qui fonctionnent ou pas. Je récapitule => -utilise Fix_Protocol_zones_ranges.reg comme indiqué plus haut et poste un nouveau rapport hijackthis. -recommence la manipulation avec Regdacl. Le fichier que tu vas créer doit avoir l'icône d'une roue crantée , et pas celle d'un fichier texte. @+ tard et pas de panique, on va y arriver!

salut dave36,bruce lee dave36, stp continue la discussion dans le premier topic que tu as ouvert, je suis en train de répondre!! On ne comprends plus rien

salut dave36 Bizarre! on voyait bien sur ton premier rapport un piratage de la zone de confiance, mais je t'ai fait téléchargé Zebrestore : tu l'as bien utilisé? Reposte un nouveau rapport hijackthis mais normal cette fois ci stp. Vers quelle url est tu redirigé?est ce=> hxxp://ny.contentmatch.net (j'ai remplacé les t de http!) A quels sites ne peux tu pas accéder? Bon on continue à éliminer les services infectés comme ceci: Télécharger RegDACL de Frank Heyne sur le Bureau http://www.heysoft.de/nt/reg/doc/RegDACLE.zip Créer un dossier Regdacl sur le Bureau. Clic droit sur un espace vide du Bureau, Sélectionner Nouveau Dossier sur le menu et le nommer Regdacl Dézipper les fichiers de RegDACLE.zip dans le nouveau dossier Regdacl sur le Bureau. Copier / coller le texte suivant dans le Bloc-Notes. Faites en sorte que Retour automatique à la ligne n'est pas coché (Menu Format) Sauvergarder dans le dossier Regdacl sur le Bureau comme klegacy.bat. Sauver comme: Type: Tous les fichiers (pas comme un document texte) Nom: klegacy.bat Ouvrir le dossier Regdacl sur le Bureau, double-clic sur klegacy.bat. Une fenêtre DOS sera visible un court instant, ceci est normal. Le Bloc-Notes ouvrira fixme.txt, poster le contenu s.v.p Une fois ceci fait, lance s'il te plait une recherche avec Regsearch sur les même termes que précédemment, à savoir=> NTBOOT NTLOAD NTSVCMGR Colle le résultat de ta recherche dans ta prochaine réponse stp. Refais un scan chez Panda et poste le rapport. Allez courage!

salut dave36 De rien Je te poste la réponse demain matin! apres on verra pour virer les restes des antivirus : as tu trouvé et effacé les dossiers qui y font référence? @ toute à l'heure

salut Mystmax Dis moi , est ce que le cd est légal? je dis ca parce que un cd copié ne fonctionnerait peut être pas!( ne le prends pas mal ) Quand tu dis j'ai juste le choix de réinstaller Windows, une petite précision=> Lorsque tu arrives sur l'écran qui te donne le choix : - installer Windows. - réparer ou récupérer Windows Il faut répondre "Installer"!! (touche <Entrée>) Ce n'est qu'au second écran qui apparait que tu dois sélectionner "Réparer" et que le remplacement des fichiers sera fait! C'est mieux montré ici => http://www.bellamyjc.org/fr/windows2000.html#repair Je te demandais si le cd qu'on t'a prêté est légal ou pas, parce que j'ai eu une fois à utiliser un tel cd pour réparer windows, et il se trouve que l'option n'apparaissait même pas...!!et apres avoir sélectionné "Installer", on me demandait de formater la partition directos ,ce qui ne nous interresse évidemment pas Dis moi si c'est le cas! @+tard

salut Kawajacouille Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici.

salut salmayen et bienvenue sur le forum Combien d'antivirus sur ton pc? Norman , Avast + Antivir! (j'imagine que tu en as téléchargé deux autres pour désinfecter ton pc?) As tu suivi cette procédure=> http://forum.zebulon.fr/index.php?showtopic=83986 Suis là et nettoie le pc comme c'est indiqué, puis reviens poster ton rapport

salut liégeois, Poulette liégeois a certainement raison! On peut faire un scan pour voir si tout va bien: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Sinon rien de méchant sur ton rapport @+ tard

oui n'hésite pas à faire une capture de ton gestionnaire! es tu sûr qu'il s'agit de IEexplorer , et non pas de iexplore.exe?? Je ne parle même pas de celui ci(que je n'avais pas vu!!) mais de Avast + Antivir!!

salut lulu30 On va y voir plus clair avec ce tool et être sûr que ce n'est pas un faux positif!: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. *Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...html?p=ZNfox000 -Ferme tous les programmes et clique sur "Fix Checked" *Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle le programme suivant(si tu trouves!): mywebsearch Télécharge ATF Cleaner by Atribune sur ton bureau. *Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Reposte un nouveau rapport hijackthis .

On dirait du Ps Guard! peux tu faire ceci stp: Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici.

ca ne répond pas à la question => Si je te demande ca, c'est par rapport à cette ligne 04 => O4 - HKLM\..\Run: [nullsoft] C:\WINDOWS\system32\run32dll.exe cet exécutable étant utilisé par ce programme! Un utilitaire pour surveiller le surf des enfants? Suis le conseil de regis56, à savoir d'attendre la fin de la désinfection avant de refaire des achâts sur le net : prudence est mère de sureté....

salut @ tous Aux bons conseils de regis56 et tesgaz, j'ai une petite question à poser: as tu installé un logiciel nommé PAL PC Spy sur ton pc?

salut dave36 Une recherche qui n'apparait pas sur ces rapports : peux tu relancer Regsearch et coller ceci seulement dans la ligne de recherche=> NTBOOTMGR Il est préférable d'éliminer toutes les clés infectées en même temps! Poste le rapport de cette recherche stp. Pour Bitdefender: *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\Fichiers communs\Softwin Tente ceci(dis moi si ca fonctionne!): -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete BitDefender Communicator => clique sur [entrée] Un message t'avertis du succès de l'opération puis sc delete BitDefender Scan Server=> clique sur [entrée] Quitte l'invite de commandes. Pour Avast: *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\Alwil Software -Vide la corbeille. -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete avast! Antivirus => clique sur [entrée] Un message t'avertis du succès de l'opération puis sc delete avast! iAVS4 Control Service=> clique sur [entrée] sc delete avast! Mail Scanner=> clique sur [entrée] sc delete avast! Web Scanner=> clique sur [entrée] @+ tard pour la suite

salut MAC_GIVRERet bienvenue sur le forum Je te confirme que ton pc est infecté (par Errorsafe entre autres!). Suis la procédure de Mégataupe pour nettoyer ton pc (ca facilitera la désinfection) et reposte un nouveau rapport hijackthis => http://forum.zebulon.fr/index.php?showtopic=83986 Antivir va commencer le travail

salut Apsara,regis56 Apsara , n'oublie pas de désinstaller un des deux antivirus!! un seul antivirus résident sur ton pc! Ton problème de lenteur n'a que quelques jours: il est aussi possible que ce soit dû à ton FAI ,renseigne toi de ce côté(opérations de maintenance sur le réseau par exemple).

salut Service inutile à mon avis! ce qu'en dit tesgaz dans son article sur les services windows: L'intégralité de cet article tres utile pour configurer ses services ici=> http://www.zebulon.fr/articles/services_1.php A bientôt avec ton rapport hijackthis

salut dave36 Quelques remarque: Effectivement les services sont bien désactivés, mais toujours présents sur ton pc! on va faire une recherche dans ta base de registre et les éliminer. Etonnant! ceci dit,il n'y a plus de trace de ldr64! Dans ton rapport hijackthis, je vois: -Bitdefender -Avast -Antivir Désinstalle Avast et Bitdefender!Conserve Antivir.Apres ca il va falloir télécharger un firewall, car celui du sp2 n'est pas suffisant! Assure toi que le firewall de Windows est bien actif! pour cela, passe par le Panneau de Configuration, et ouvre le Centre de Sécurité Windows(l'icône d'un bouclier)En face de parefeu, tu dois voir "activé" comme montré ici=> http://perso.wanadoo.fr/doc.jm/SP2-Centre_Securite.htm -Qu'en est il de ce que tu décrivait en début de discussion?=> - Ton rapport Panda montre qu'il y a à faire du ménage dans tes dossiers temporaires! *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! * Assure toi que ce dossier (en gras) à bien disparu: C:\WINDOWS\SYSTEM\DRIVER *Supprime le contenu des dossiers en gras: C:\Documents and Settings\David\Local Settings\Temp C:\Documents and Settings\David\Local Settings\Temporary Internet Files\Content.IE5 -Vide la corbeille. *Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok - Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle les entrées en bleu dans les lignes de la zone de recherche: NTBOOTMGR NTLOAD NTSVCMGR - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans ta réponse, ici - ferme le bloc-notes - ferme RegSearch par Cancel -Si la manipulation ne marche pas, entre les éléments un par un.