Thanos

salut Silvester Possible, mais as tu lancé l'option 2 de Smitfraudfix, parce que ce fichier lié à SPyfalcon est bien présent sur ton pc => Par ailleurs,il y a moyen de réagir à présent face à ces infections qui pourrissent nos pc: @+

Bon d'apres le réultat de l'analyse Panda, j'imagine que tu as suivi la procédure de tornado?? Si tu regardes le message que j'ai posté avant, ou je te demande de virer un dossier et de faire une recherche avec Regsearch, tu verra le fameux dossier : C:\Program Files\Network Monitor Il se trouve que Panda l'a détecté aussi!! Donc voici le fichier que tu doit éliminer en plus du dossier plus haut: C:\WINDOWS\system32\z12.exe Vide la corbeille.-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. *Remarque: -Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" - "Browser Cookies" puis clique sur "Find".Lorsque le scan est terminé,clique sur "Delete all". En attente de ton rapport généré par Regsearch

Non, par contre,j'aimerai stp que tu double clique sur le fichier présent dans C:\WINDOWS\system32 , et que tu me dise si l'invite de commande s'ouvre: une fenêtre noire comme celle qui s'est ouverte lorsque tu as ouvert le fichier que je t'ai fait télécharger. Je viens de regarder ton rapport, rien de méchant, mais un service à éliminer:je te rassure il est désactivé! Est ce que tu as suivi la procédure de tornado? un nouveau dossier à éliminer : *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\Network Monitor -Vide la corbeille. - Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle les entrées en bleu dans les lignes de la zone de recherche: netmon.exe Network Monitor - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel -Si la manipulation ne marche pas, entre les éléments un par un.

salut tbee2003 ,bienvenue sur ce forum Ton pc n'est pas à jour Tant qu'il ne sera pas au moins au niveau SP1a, la porte est grande ouverte pour d'autres infections. Dis toi bien que les gars qui inventent des malwares utilisent les failles de windows pour pourrir ton pc,et dans l'état actuel,ton pc est un gruyère!! D'ailleurs je suis même étonné car ton rapport ne montre aucune infection....alors que tu n'as pas de parefeu!!! Plus important que l'antivirus que tu as(et qu'il faut bien sûr garder!!), il faut absolument que tu mettes un parefeu celui là par exemple,(gratos ): -pour télécharger kério: http://www.sunbelt-software.com/Kerio-Download.cfm -son tutorial: http://www.vulgarisation-informatique.com/kerio.php -Patch francais: http://macmicro.chez-alice.fr/Download/download.htm ou celui là: -pour télécharger Sygate: http://www.symantecstore.com/dr/v2/ec_main...CACHE_ID=203890 -son tutorial: http://geeksasylum.free.fr/articles/reseau...ate5/part01.htm Ton problème n'est pas forcément dû à un malware...pour te rassurer un petit scan en ligne ici=> Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Ecoute mon conseil et met d'urgence un parefeu tant que ton pc est encore clean!! Edit:salut bibi26 et liégeois tu as raison!pas conseillé désactiver ton antivirus si tu vas sur le net!

En fait le fichier que tu as téléchargé, est le fichier qui est normalement placé dans le dossier suivant:C:\WINDOWS\system32 => j'aimerai que tu ailles voir si tu trouves ce fichier (c'est le même que je t'ai fait télécharger)J'ai l'impression que ton fichier original n'est pas présent: dis moi ce qui en est stp! Ne retire rien du Registre!! une fausse manip et c'est le pc qui redémarre plus! on va chercher ensemble si tu veux bien Poste un rapport comme ceci que j'y jette un oeil=> Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici. apres ca, suit les manipulations de tornado pour éliminer les fichiers infectés trouvés par Panda

J'imagine que quelque malware aura bidouillé ta base de registre et mis des restrictions sur certaines clés, pour que tu ne puisses pas y effacer des clés qu'il a installé... mais ca peut aussi être dû à une altération de fichiers système auquel cas il faudra vérifier et réparer!Tu as double cliqué sur le fichier que tu as dézippé?

Tirol te dit ca parce que il est réputé pour intégrer des spywares!! Je t'ai laissé un message pour cmd et le regitre plus haut

salut Bacj-up Ton rapport ne montre pas d'infections, pour ce qui est des modifications faites dans la base de registre, essaie Zebrestore: Télécharge zebrestore met le dans un dossier. Lance le programme et coche la case suivante: * Regedit Rend toi à l'adresse suivante: http://www.kellys-korner-xp.com/xp_tweaks.htm Repère la ligne suivante: 228 panneau de droite. Clique sur le lien Restore CMD.EXE , et télécharge le fichier cmd.zip. Dézippe le fichier sur le bureau et double clique dessus. Ensuite un scan en ligne => -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Dis nous si ton registre et la commande cmd sont débloqués! ouf ,on a posté entre temps

salut ece non tu peux le garder bien sûr! même si je lui préfère Ewido Comment fonctionne ton pc à présent? Quelques petites manips: *Vider la quarantaine de CounterSpy *Eliminer les utilitaires suivants: SmitfraudFix ,Smitrem , RegSearch , remove.reg , Blacklight par contre,lorsqu'on ta demandé de passer Smitfraudfix en début de procédure, si tu te souviens, il ya des fichiers qu'il n'a pas pû éliminer: C:\Program Files\AdwareSheriff\asheriff.exe Le fix a été mis à jour par S!RI depuis!! je vais te demander si tu veux bien de télécharger le fix mis à jour et de repasser l'option1 pour voir si tout est bien parti!(c'est la même adresse ,débarrasse toi de l'ancienne version avant!) *Télécharge SmitfraudFix de S!Ri, moe31 et balltrap 34 ici: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe la totalité de l'archive dans un répertoire, exécute Smitfraudfix.cmd Dans le menu, sélectionne 1 Poste le rapport ici. Pour finir et vraiment si tu as encore des doutes, tu peux finaliser avec Ewido:facultatif!( là je chipotte!) => -Télécharge la version d'essai d'Ewido:ici : et installe le (important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu")Met le à jour. Lorsque tu es passé en mode sans échec, lance Ewido et clique sur "scanner" puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut "Supprimer" (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauve le rapport (Fichier/Enregistrer sous...) et colle le dans ton prochain message. *Tu peux conserver ces utilitares par contre pour nettoyer: TF-Cleaner,EasyCleaner , JV16

pas d'inquiêtude!il y a des cookies dans le tas qui sont détectés comme une infection, même si c'est rien! On attends le résultat!Est ce que tu as lû mon précédent message concernant ce fichier ? => gdim2k.sys

encore un peu de boulot Je repère un service inconnu et plutôt douteux... Veut tu faire analyser le fichier suivant stp: gdim2k.sys dans le répertoire suivant: C:\WINDOWS\System32 *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! à faire soumettre ici=> 1- http://virusscan.jotti.org/ 2- http://www.virustotal.com/flash/index_en.html Lorsque tu cliques sur ces deux adresse,tu as une case nommée "Parcourir", tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier gdim2k.sys que tu trouveras en allant dans le dossier C:\WINDOWS\System32 .Tu cliques une fois sur le fichier gdim2k.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "submit"(soumettre) pour le virusscan de jotti et "send" pour virustotal.Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse . Il est possible que tu reçoives ce message => "Server is extremely busy at the moment. Please try again later."auquel cas il faut retenter le coup plus tard! communiquer les 2 rapports.

Pour Avast, je ne saurais trop te dire, je ne l'ai jamais utilisé!!Une solution possible: désactiver le bouclier web, pendant le chargement de l'active X de Panda (et même le laissé désactivé le temps du scan). Essaie ca et dis nous si ca marche! Pour ce qui est de services.msc , par curiosité, as tu ces fichiers dans ton dossier C:\WINDOWS\System32 => services.exe et services.msc

Bien ton rapport ne montre plus d'infection!! Peut tu stp poster un rapport comme ceci: Ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici. Il faut s'assurer que rien ne reste sur le pc de mauvais! essaie ce scan : Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Si ca ne fonctionne pas, assure toi que ton antivirus ne bloque pas les contrôles active x, et assure toi que les contrôles active x sont bien paramétrés comme ceci=> http://webpublic.ac-dijon.fr/pedago/maths/...et_securite.htm Par ailleurs,les scans en question ne fonctionnent pas avec Firefox, mais avec IE! Yes!! tu peux mettre le nom que tu veux en fait

salut tornado ,nullard Exact tornado , bruce lee me l'a aussi fait remarquer Bon comme dit tornado, il y a de l'optimisation à faire nullard,et cette ligne à éliminer,ainsi que le fichier qui va avec: pas méchant mais pas le bienvenu quand même car considéré comme spyware : *Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE -Ferme tous les programmes et clique sur "Fix Checked" *Supprime les fichiers en gras probablement dans C:\WINDOWS (ou C:\WINDOWS\System32): C:\WINDOWS\ALCMTR.EXE (tu le trouvera dans ce répertoire normalement!) *Vide la corbeille. Si tu veux optimiser ton pc un peu, on se fera un plaisir de fixer quelques lignes de ton rapport

Télécharge ATF Cleaner by Atribune sur ton bureau. ouvre le bloc note.Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "wersds.exe"=- "Key"=- "Windows update loader"=- -Enregistrer ce fichier dans : Bureau -Nom du fichier : remove.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes: ne clique pas sur le fichier maintenant! *Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O4 - HKCU\..\Run: [wersds.exe] C:\WINDOWS\System32\doriot.exe O4 - HKCU\..\Run: [Key] C:\DOCUME~1\FCHAMP~1\LOCALS~1\Temp\1A.tmp O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe -Ferme tous les programmes et clique sur "Fix Checked" *Redémarre en mode Sans Échec (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) *Supprime le fichier en gras dans C:: c:\secure32.html *Supprime le fichier en gras dans C:\WINDOWS: C:\Windows\xpupdate.exe *Supprime le fichier en gras dans C:\WINDOWS\System32: C:\WINDOWS\System32\doriot.exe *Supprime le contenu du dossier en gras C:\Documents and Settings\Fchampeaux\Temp *Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. *Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport du scan suivant: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Excuse la lenteur de ma réponse flav!! j'était pris ailleurs quelques instants! Pour bruce: les clés de registre run sont sous HKCU en fait, j'avais pas vu tout de suite!

salut flav,bruce lee Tout a fait d'accord bruce lee, il faut aussi virer les clavleurs présentes dans le clés : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run et aussi HKEY_CURRENT_USER. Je remanie juste la procédure si tu veux bien bruce flav, je te répond dans un instant!

Salut Barban Un problème en planque un autre!! Bon pour ce qui est de ce message d'erreur quand tu veux ouvrir les services, essaie de réenregistrer cette dll: Va dans Démarrer \ Exécuter et tapes la ligne suivante: regsvr32 C:\WINDOWS\System32\mmcndmgr.dll tapes sur ok pour valider: un message t'avertit du succès de l'opération. Regarde si services.msc fonctionne apres ca. Est ce que tu as regardé dans les options d'Avast pour voir si les contrôles active x ne sont pas bloqués? Tiens nous au courant.

salut Patou41 Tu as bien ouvert Hijackthis, puis été dans la section "Misc Tools Section"? pour trouver le menu "delete a file on reboot".Bon si ca ne fonctionne pas on peut utiliser Killbox, mais il faut donner le chemin exact des fichiers en question ,ainsi que leur nom! @+ tard

salut nullard et bienvenue sur ce forum Ton raport ne montre pas d'infection, par sécurité tu peux faire ce scan si tu veux et poster le rapport à la suite: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial

salut @ toutes et tous Merci pout ton passage Philae Je passait en revue les deux procédure en regardant un peu la date des rapports que tu avait posté sanchou, et je comprends mieux maintenant pourquoi tout ca me parraissait bizarre Le résultat de Smitfraudfix, comme l'a bien dit Philae qui m'a parru franchement louche, celui d'Ewido=> et ceci que j'apprécie beaucoup => ma réponse: et la tienne : Voilà, voilà.... merci pour le "je ne sait plus,on apprécie!bon Philae a tout dit! elle a passé pas mal de temps à essayer de te sortir de la panade, et moi de même! En allant à droite et à gauche tu as tout faussé , on y comprends plus rien!! Aussi, comme dit Philae: On va donc te souhaiter bon courage dans ta quête ! Il faut nous comprendre, si tu joues pas franc jeu , c'est pas la peine.... Merci à QC001 et Philae Si quellqu'un veut prendre la suite, pas de soucics!

C'est bien de ca dont il s'agit, soit prudent et bon weekend

salut Florian75012 Content que ton Gestionnaire fonctionne de nouveau Quelques fichiers à éliminer encore ,découverts pas Pandascan , et une ligne dans hijackthis qui m'avait échappé ( merci à bruce lee il t'avait demandé de l'éliminer d'ailleurs!) Allons y : *Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll -Ferme tous les programmes et clique sur "Fix Checked" *Redémarre en mode Sans Échec (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) *Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!! *Supprime les fichiers en gras dans C:\WINDOWS: C:\WINDOWS\GatorUninstaller_cme.log C:\WINDOWS\smdat32m.sys *Supprime le dossier en gras dans C:\Program Files: C:\Program Files\RXToolBar => je te le remet, mais j'imagine que tu l'as déjà éliminé? Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe Coche ceci : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin Clique sur Empty Selected et au message "Done Cleaning" sur Ok Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + un nouveau scan chez Panda stp

Tu as bien droits administrateur? Si ca ne marche toujours pas,essaie de scanner ton pc avec ceci: Malicious Software removal tool from Microsoft As tu des fichiers importants dans "Mes documents" ?Une solution bête et méchante consisterait à en vider le contenu...Dis moi si le tool de Microsoft a trouvé quelque chose

salut patou41 , re Goofy! A ce que te dit Goofy j'ajoute une remarque par rapport à ces fichiers: Lorsque je regarde la capture que tu as mis, je vois que ce fichier a été installé par ton FAI "Alice" ! Bon on peut de toute façon les éliminer avec hijackthis, par le menu "Misc ToolsSection" , section "Supprimer un fichier au reboot". (ou "delete on reboot" => sous "Open Hosts File"). Il te suffit de cliquer sur le bouton "Supprimer un fichier au reboot" , une fenêtre va s'ouvrir et te permettre de naviguer dans ton disque dur. Choisis les fichiers que tu veux éliminer : lorqu'un fichier est sélectionné, un message t'avertit qu'il sera éliminé au redémarrage et te demande si tu veux redémarrer , répond "non" . Entre ainsi de suite les fichiers que tu effacer, au dernier repond "oui" : le pc va redémarrer et effacer la liste . Tiens nous au courant

Bon voilà la bonne nouvelle: my master QC001, que je remercie ,m'a envoyé ce lien,tres interressant sur ce mchinjdrv=> Dans le lien suivant sur le site de Spybot, LonnyRJones , un pro de la sécurité sur pc , explique que ce service est aussi utilisé par des logiciels de sécurité tels que TrojanHunter, spysweeper, a2 ... le lien => http://forums.spybot.info/showthread.php?t=774 La fin est interressante:" si vous utilisez un des programmes plus haut, il s'agit d'un faux positif." Il se trouve qu'en relisant la discussion je vois que tu as mis A² sur ton pc ! nous voilà donc fixés...ouf On ne s'occupe plus de ce service donc, tant mieux! malgré toutes les recherches que l'on peut faire, il est parfois difficile de savoir si tel ou tel service est infecteux, même si dans le cas présent (mchinjdrv) est estampillé dangereux ! Voilà pour la petite histoire et la lenteur de ma réponse! Bon pour finir, un dernier scan chez Panda si tu en a le courage !=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Apres ca quelques conseils de sécurité et ca sera bon