Thanos

tiens Gakman peut être une possibilité de détourner les restrictions et exécuter un programme avec un compte limité: source=> Tanière de PN: http://www.d2i.ch/pn/az/e.html#e013 Si tesgaz passe par là il pourra peut être nous en dire plus

rien ne montre une infection sur ce rapport ,est ce que ton pc a des problèmes?pop ups? alertes....?

salut bun Ou est ce que ce fichier a été détecté? certainement dans la quarantaine d'Ewido car celui ci l'a éliminé d'apres le rapport de scan. Ces fichiers sont en quarantaine dans Avast? pas d'inquiêtude, ils sont inactifs dans ce cas. Il suffira de vider la quarantaine d'Avast pour t'en débarrasser.

salut bilatche,bibi26 bibi26 a raison! Qu'est ce que tu veux enlever?mettre un vrai firewall par contre oui!

Salut ton rapport est propre!Les deux liens que te donne tornado concernent le navigateur Firefox : pour le télécharger: http://www.mozilla-europe.org/fr/ et pour le rendre encore plus sûr grace à Mégataupe et ses bons conseils=> http://forum.zebulon.fr/index.php?showtopic=69628 essaie ce navigateur , il est plus sécurisé que Internet Explorer et ses contrôles active x...

salut Liégeois et merci pour la commande sfc /scannow on peut la lancer par l'invite de commande, mais ca n'a pas l'air de fonctionner... Par contre on peut essayer en bootant sur le cd d'xp et en utilisant la console de récupération pour récupérer un fichier Ntfs.sys sain, alors reday??

aram,tu as oublié de faire certaines choses on dirait => Ces ligne auraient du disparaitre: O4 - HKLM\..\Run: [Grey mags htm bend] C:\Documents and Settings\All Users\Application Data\tons readme grey mags\for show.exe 04 - HKCU\..\Run: [more window] C:\DOCUME~1\SULUKD~1\APPLIC~1\OBJJUG~1\cake grey.exe J'ai l'impression que tu n'as pas éliminé ces fichiers=> Bon je reprends.... -Redémarre en mode sans échec sinon tu ne pourra pas éliminer ces dossiers!!! Pour voir ces fichiers il faut faire ceci, car ils sont cachés!!=> Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O2 - BHO: (no name) - {620F3281-5F95-B0DA-2386-83F61AB4FB42} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O4 - HKLM\..\Run: [Grey mags htm bend] C:\Documents and Settings\All Users\Application Data\tons readme grey mags\for show.exe O4 - HKCU\..\Run: [more window] C:\DOCUME~1\SULUKD~1\APPLIC~1\OBJJUG~1\cake grey.exe O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - -Ferme tous les programmes et clique sur "Fix Checked" -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\Documents and Settings\All Users\Application Data\tons readme grey mags=> le dossier - C:\Documents and Settings\SULUKD~1\Application Data\OBJJUG~1=> le dossier -Vide la corbeille. -Lance Lopremover,suis les indications à l'ecran. -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification. Avant de faire tout ca, DESACTIVE LE TEATIMER DE SPYBOT EN PASSANT PAR LES OPTIONS DE SPYBOT, CAR IL EMPËCHE LES MODIFICATIONS AU NIVEAU DE LA BASE DE REGISTRE!! Copie colle ma réponse dans un fichier texte, pour pouvoir la consulter en mode sans echec car tu n'as pas accès à internet!

pasévident dans ces conditions c'est vrai!Dis moi le mode sans échec est inaccessible à cause d'un code?

salut reday, est ce que tu arrives à démarrer ,malgé ce problème de fichier ntfs.sys ? Est il indiqué qu'il est corrompu allo?? un message te disant que le fichier Ntfs.sys est manquant ou corrompu?? Ca peut se régler en passant par la console de récupération.

merci a bruce surtout! Fais quand même le scan en ligne quand tu peux, car hijackthis qui est un super logiciel ne montre pas tout, ca te permettra d'être sûr que rien de mauvais ne nous à echappé!Poste le rapport à la suite @+ tard

désolé Doudou34 et merci à Tornado Une remarque à ajouter: Fais gaffe lorsque tu installes CCleaner, je viens de voir qu'ils installaient la barre Yahoo en même temps!! Si tu n'en veux pas,lors de l'installation il y a une case à décocher! Merci à Igor51 LOL!! je viens de voir que S.Birkoff avait rectifié son discours sur CCleaner! donc oublie ma remarque Doudou34,je radote!

à toi l'honneur bruce Merci à neosapri d'avoir rectifié son post!!

Houlà tu fais bien de préciser!! Dans la ligne qui apparaissait dans ton rapport en début de discussion on voyait ce fichier en gras=> O2 - BHO: (no name) - {99B32A5D-E775-45BC-B54E-B76E12A000C1} - C:\WINDOWS\System32\mqrtdepd.dll Ce fichier là est douteux on est d'accord, et la CLSID qui l'accompagne aussi => {99B32A5D-E775-45BC-B54E-B76E12A000C1} Tu n'as pas trouvé cette dll,ok. Par contre celle ci =>mqrtdep.dllsans le (d) à la fin est légitime et appartient à Microsoft! Donc à ne pas enlever! Des infos ici=> http://www.system-help.com/dll/mqrtdep-dll/ Bizarre que tu n'ais pas trouvé celle ci=>mqrtdepd.dll... as tu mis en évidence touss les fichiers comme ceci?=>

salut Send/Return ,tu as bien éliminé ce fichier?(en gras)=> C:\WINDOWS\System32\ mqrtdepd.dll bruce lee t'indiquait le chemin à suivre pour le trouver :C:=>\WINDOWS\=>System32 Fais un scan en ligne pour finir: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial Ton rappoprt hijackthis est propre

salut Gakman,bruce lee Essaie de modifier les droits sur ce profil en passant par le Panneau de configuration=>Comptes d'utilisateurs=>modifier un compte=>tu choisis le compte en question et tu cliques dessus=>changer mon type de compte=>clique sur "Administrateur de l'ordinateur". Essaie ca et tiens nous au courant soir tesgaz!!

salut regis56 aram,comme te l'as dit regis56, ca ne changera rien du tout car l'infection est sur ton pc: il faut la virer! Ceci dit c'est bien mieux de surfer avec Firefox qui est mieux sécurisé! Pour le configurer correctement et te protéger à l'avenir lors de tes surfs,il faut le paraméterer suivant les conseils de Mégataupe=> http://forum.zebulon.fr/index.php?showtopic=69628 Ce que je t'ai indiqué n'est pas bien difficile à faire!tu sais il faut faire un minimum d'efforts pour nettoyer le pc...

salut fayla C'est tout ce que j'ai retenu... Merci ,c'est gentil c'est vrai que ZEB est un super forum! Alors en attendant que mes chevilles dégonflent!,on va faire le nettoyage! Je reviens sur ca => Tu l'as eu à quel moment cet écran bleu??J'èspère que tu n'as rien effacé d'important Ce que tu vas faire , devrait te débarrasser de ca! J'aimerai avant de faire ceci, que tu crée un point de restauration système, pour le cas ou il y aurait une mauvaise manipulation.(une sécurité pour pouvoir revenir en arrière en cas de problème!) en image: http://www.vulgarisation-informatique.com/...estauration.php Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS AutoDial\Default] "DefaultInternet"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "Topnet - ISP Tunisia"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Identities\{87072AF7-3CBE-44B1-93AF-A3CD01626EEC}\Software\Microsoft\Outlook Express\5.0] "WindowTitle"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\RemoteAccess] "InternetProfile"=- [-HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\RemoteAccess\Profile\Accès Libre - Topnet] [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Software\Microsoft\Outlook Express] "WindowTitle"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Software\Microsoft\RAS AutoDial\Default] "DefaultInternet"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Software\Microsoft\RAS AutoDial\Entries] "Accès Libre - Topnet"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] "b"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt] "a"=- [HKEY_USERS\S-1-5-21-1229272821-1993962763-839522115-500\Software\Netscape\Netscape Navigator\Main] "Home Page"=- -Enregistrer ce fichier dans : Bureau -Nom du fichier : remove.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes: ne clique pas sur le fichier maintenant! -Redémarre en mode sans échec. -Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. -Tu redémarres et tu relances la même recherche avec Regsearch pour voir si toutes les clés ont été éliminées.Poste le rapport Ensuite, un peu de propre ne fait pas de mal!! Utilise ceci pour décrasser la base de registre de toutes les clés inutiles=> -Télécharge jv16: http://telechargement.zebulon.fr/201-jv16-powertools.html -pour plus de détails=>son tutorial: http://www.zebulon.fr/articles/base-de-registre-3.php - Mets le logiciel en français Preferences > Language > Français > OK. - Ensuite, Outils registre > menu Outils > nettoyeur de registre. - Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées". - Clique sur "Continuer" puis sur "Démarrer". - Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis va en bas à droite et supprime.Tu peux virer toutes les entrées en vert. -Si ca ne fonctionne pas du premier coup,recommence!

salut inkolune Beau travail! Ton rapport est propre! maintenant pour ne pas changer,il faut s'assurer que rien de mauvais ne nous soit passé sous le nez Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. Edit: et le firewall ,il est ou??? vite, télécharge en un avant d'avoir des misères!!=> -pour télécharger kério: http://www.sunbelt-software.com/Kerio-Download.cfm -son tutorial: http://www.vulgarisation-informatique.com/kerio.php -Patch francais: http://macmicro.chez-alice.fr/Download/download.htm -pour télécharger Sygate: http://www.symantecstore.com/dr/v2/ec_main...CACHE_ID=203890 -son tutorial: http://geeksasylum.free.fr/articles/reseau...ate5/part01.htm

Avant de faire quoique ce soit, tu vas stp ,désactiver le SpybotSD TeaTimer, qui pourrait empêcher les modifications qu'on va faire! -Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier) -télécharge lopremover et met le sur le bureau http://clairvoyant.p2pforum.it/tools/lopremover.zip -Télécharge la version d'essai d'Ewido:ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour. -Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 Assure toi d'avoir accès à tous les fichiers. Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {511F9316-771B-4953-A268-1C36DA667FE9} - (no file) O2 - BHO: (no name) - {620F3281-5F95-B0DA-2386-83F61AB4FB42} - (no file) O4 - HKLM\..\Run: [Grey mags htm bend] C:\Documents and Settings\All Users\Application Data\tons readme grey mags\for show.exe O4 - HKCU\..\Run: [more window] C:\DOCUME~1\SULUKD~1\APPLIC~1\OBJJUG~1\cake grey.exe O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr/SysWebTelecomInt.cab O16 - DPF: {67925165-C4B6-11D2-B9C6-0000E84F59A6} - file://D:\b3d\common\bdeinsta\bdeinsta.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab -Ferme tous les programmes et clique sur "Fix Checked" -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : - C:\Documents and Settings\All Users\Application Data\tons readme grey mags=> le dossier - C:\Documents and Settings\SULUKD~1\Application Data\OBJJUG~1=> le dossier -Vide la corbeille. -Lance Lopremover,suis les indications à l'ecran. -Lances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + lz rapport d'Ewido!

salut aram! Ok je lance une analyse, réponse dans 15 mns!

salut neosapri et bienvenue sur ce forum On va te donner un coup de main pour t'en débarrasser ne pense pas au formatage, ce ne sont que des Spywares! Dans le rapport de regfreeze que tu donnes, peut tu éditer ton message pour modifier la première ligne: - searchbar.findthewebsiteyouneed.com => retire le http pour qu'on ne puisse pas cliquer sur cette adresse pourrie Tu vas stp poster un rapport en suivant la procédure suivante qui va bien nettoyer le pc pour commencer: http://forum.zebulon.fr/index.php?showtopic=83986 Une fois que tu auras posté le rappoprt hijackthis, on sera là pour t'aider Edit:grillé par bruce lee!!

1)-Télécharge la version d'essai d'Ewido:ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour. -Télécharge EasyCleaner de Toni Helenius(installe le dans son dossier) -Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) : REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Instant Access"=- -Enregistrer ce fichier dans : Bureau -Nom du fichier : remove.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes: ne clique pas sur le fichier maintenant! -Redémarre en mode sans échec. 2)-Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKCU\..\Run: [instant Access] rundll32.exe p2esocks_1048.dll,InstantAccess O16 - DPF: {0E79192A-C52C-4260-920F-639AC2296203} - http://scripts.downloadv3.com/binaries/P2E..._1048_FR_XP.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab -Ferme tous les programmes et clique sur "Fix Checked" -Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. -Lances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification + le rapport de scan d'Ewido A toute à l'heure!

salut doudou34 Roulements de tambours... rien à signaler!! on va faire une petite manip pour que ce fichier disparaisse du démarrage de windows! Réponse dans un instant!

salut liloute Encore un peu de boulot et c'est bon: -Redémarre le PC, impérativement en mode sans échec Assure toi d'avoir accès à tous les fichiers. -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\windows\system32\wincon.exe=>le fichier -Vide la corbeille. -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification. De plus fais ceci car il reste des choses à éliminer à coup sûr: -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial @+ tard

bonjour fayla Désolé d'avoir un peu enterré ton topic!!(il y a beaucoup de monde qui poste!si on y prend garde,on perd les messages!) Je sais qu'il existe un logiciel capable de te débarrasser des connexions dites "fantome" ,mais je ne sais pas si ca résoudra ton problème! Il y a bien sûr possibilité de virer toutes les clés relatives à cette connexion "Topnet" , pour celà tu fais une recherche de toutes les clés avec un logiciel comme regsearch par exemple: -Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle l' entrée en bleu dans la ligne de la zone de recherche: Topnet - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel Si tu veux faire le ménage,soit tu le fais manuellement en suivant les clés trouvées par regsearch,mais n'oublie pas de sauvegarder le registre avant,car il faut être sûr de ce que tu vas effacer!! Si tu veux on peut y jeter un oeil et faire un fichier reg pour les virer! Ceci dit, je ne te promet pas que ca arrangera ton problème de connexion!! Pour avoir une réponse avisée je te conseille plutôt de faire un tour sur le forum de zeb : "internet et réseaux" Une remarque au passage, assure toi que le parefeu ZA a bien été reconnu dans le centre de sécurité windows.Normalement le parefeu du sp2 est désactivé automatiquement lorsque que l'on met un nouveau parefeu en route. @+