Thanos

Commence par faire ceci Clique droit sur le lien suivant:Fsecureuninstall -Enregistrer sous => Bureau -Nom du fichier : rmv.reg -Type : tous les fichiers -cliquer sur Enregistrer -Clique sur le fichier rmv.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg. Relance la même recherche avec regsearch comme précédemment,pour voir ce qu'il reste. Edit: j'ai buggé désolé!Salut jack!!

Comme précédemment: -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:F-Secure File System Filter Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Fais la même chose avec ces services=> F-Secure Gatekeeper F-Secure Gatekeeper Handler Starter F-Secure File System Recognizer F-Secure Anti-Virus Firewall Daemon F-Secure Firewall Driver F-Secure Management Agent Quitte les services. Et puis tu fais la suite

Tout s'explique de plus wanadoo qui squatte le pc... Cependant un petit scan en ligne au passage : Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. @+ et merci pour ton intervention pitcat

On va s'occuper du restant de FSecure! Jre pars du principe que tous les services liés à Fsecure on été arrêtés et désactivés.Assures t'en: F-Secure File System Filter: \??\C:\Program Files\F-Secure Anti-Virus\Anti-Virus\Win2K\FSfilter.sys (autostart) F-Secure Gatekeeper: \??\C:\Program Files\F-Secure Anti-Virus\Anti-Virus\Win2K\FSgk.sys (autostart) F-Secure Gatekeeper Handler Starter: "C:\Program Files\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe" (disabled) F-Secure File System Recognizer: \??\C:\Program Files\F-Secure Anti-Virus\Anti-Virus\Win2K\FSrec.sys (autostart) F-Secure Anti-Virus Firewall Daemon: "C:\Program Files\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe" (disabled) F-Secure Firewall Driver: System32\drivers\fsdfw.sys (system) F-Secure Management Agent: "C:\Program Files\F-Secure Anti-Virus\Common\FSMA32.EXE" (disabled) On va refaire les étapes: -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\Program Files\F-Secure Anti-Virus=> le dossier -C:\WINDOWS\System32\fsdfw.sys => le fichier -Vide la corbeille. -Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/regsearch.php - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle les entrées en bleu dans les lignes de la zone de recherche: F-Secure - rien dans la ligne "Enter string to exclude from results" - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel On va nettoyer les restes dans la base de registre! On verra ca par la suite! à toute à l'heure

salut bak n'hésite pas à créer un nouveau topic, on te donnera un coup de main pour désinfecter (PS: Qc001 <- clône d'ipl001 => c'est vrai j'y avait jamais pensé )

salut Joli boulot pitcat ,un peu de nettoyage fera du bien! Juste quelques précisions: Une remarque: concernant ceci=> C:\WINDOWS\system32\wuauclt.exe c'est lié à la mise à jour de windows.Normalement il doit y avoir l'icone de mise à jour dans la barre des tâches, quand ce processus est actif. Donc pas de soucis de ce côté.Tres bonne suggestion de refaire la connexion manuellement ! Wanamou et ses services inutiles merci bien! -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant: France Telecom Routing Table Service (FTRTSVC) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Quitte les services. - Démarrer hijackthis et cocher cette ligne: O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe -Ferme tous les programmes et clique sur "Fix Checked" -Supprime le fichier (en gras): -C:\WINDOWS\System32\FTRTSVC.exe -Vide la corbeille. Un lien qui t'explique comment refaire la connexion=> http://www.faqoe.com/index.php?bas=/connexionmanel.htm En fait quel est ton problème sylvitara?

Rien de plus que tout à l'heure, tant mieux Tu peux vider le contenu des fichiers temporaires comme ceci: Tu vas dans Démarrer/Exécuter et tu tapes : cleanmgr puis tu lance le nettoyage sur les lecteurs. Quand tu peux fini avec un scan chez kaspersky! Comment fonctionne ton pc?

Tres bien! les fichier que Easycleaner n'a pas réussi à effacer sont certainement en cours d'utilisation: ils seront effacés plus tard.Pas d'inquiêtude. Le rapport que tu viens de poster est nickel , c'est bon Si Panda persiste à planter fais le scan de kaspersky: parfois chacun y va de sa trouvaille!

je voudrais m'assurer d'une chose stp inkolune, je voudrais voir ce qui se lance exactement au démarrage du pc => ouvre HijackThis. Clique sur Open Misc Tools Section Assure toi que les deux cases de droite sont bien cochées: * List all minor sections(Full) * List Empty Sections(Complete) Clique surGenerate StartupList Log Click sur "oui" lorsque l'on te le demande. Cela va générer un rapport,copie le et poste le ici.

salut boaz Encore un truc à éliminer! Assure toi d'avoir accès à tous les fichiers. -TéléchargeEasyCleaner de Toni Helenius(installe le dans son dossier) Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE -Ferme tous les programmes et clique sur "Fix Checked" -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\WINDOWS\system32\ALCMTR.EXE=> le fichier. -Vide la corbeille. Fais ce scan en ligne=> Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp. @+

salut inkolune Quelques fichiers infectés trouvés par kaspersky! Assure toi d'avoir accès à tous les fichiers. -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\WINDOWS\country.exe => le fichier -C:\WINDOWS\tool2.exe => le fichier - C:\WINDOWS\uniq => le fichier(dossier?) -C:\Documents and Settings\Piret\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar=> vider ce dossier. -Vide la corbeille. -Exécute EasyCleaner Registre et Inutiles. Si ca ne marche pas fais le en mode sans échec Le fichier E:\eauninstall.ico est lié aux Sims, je ne comprend pas qu'il bloque dessus??Essaie de le renommer en eauninstall.old pour voir,et refais le scan apres.

re habituellement dans c:\windows visiblement... Et c'est bien un fichier infecté associé à l' adware Findwhatever !On va utiliser Ewido pour nettoyer=> -Télécharge la version d'essai d'Ewido=>ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour. Lorsque tu es passé en mode sans échec, rel-Lances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) et l'envoyer

salut angus82 On continue comme ceci=> Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse, et poste un nouveau rapport HijackThis! également. IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix". Edit: regis56 , je ne me fache pas, et je te dis merci de venir en aide aux personnes infectées

salut shaman91 Plusieurs infections d'apres le rapport: Commence par détecter et effacer les fichiers relatifs au spyware L2M comme ceci=> 1)-Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin. 2)-Ferme toutes les applications en cours, car cette étape nécessite un redémarrage. Du dossier l2mfix situé sur ton Bureau, double-clique l2mfix.bat et choisis l'option #2 pour Run Fix en tapant 2 et ensuite "Entrée". Les icônes du Bureau vont disparaître (tout à fait normal). L2mfix poursuivra le scan et lorsque terminé, il sera prêt à redémarrer le PC. Appuie sur n'importe quelle touche pour redémarrer. Après le redémarrage, un fichier texte devrait apparaître. Copie/colle le contenu de ce rapport dans ta prochaine réponse IMPORTANT: NE PAS lancer d'autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Ne pas lancer cet outil en mode Sans Échec !! **Si le fichier texte (rapport) n'apparaît pas au redémarrage, double-clique sur le fichier texte ("log.txt") situé dans le dossier "l2mfix".

salut georget et bienvenue sur le forum Pour le rapport de spyware doctor je ne peut pas trop te guider, je ne connais pas!(quelqu'un sait ?) Par contre si il trouve des infections sur ton pc , tu peux faire ceci=> http://forum.zebulon.fr/index.php?showtopic=83986 @+ tard

M'a l'air propre ce rapport!Par contre tu connais ceci ?=> O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

ouille j'ai oublié que tu utilisais Avast !! IL ne s'entendent pas du tout ces deux là! Soit tu désactives le bouclier résident de Avast le temps du scan, ou si ca ne marche pas tu fais celui ci=> Fais un scan en ligne avec Kaspersky WebScanner Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer. On va te demander de télécharger un contôle active x, accepte . Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail". Le scan va commencer.Poste le rapport qui sera généré stp.

On va voir quelque chose avec le scan Panda: Pour killbox, tu as bien eu ca à la fin=> -Faire un scan en ligne ici et coller le rapport. Panda si tu n'y arrive pas : tutorial

salut Gof Je vais faire quelques recherches là dessus.Merci pour cette info interressante!Donc CWshredder détecterait la modification sur Msconfig comme étant l'oeuvre d'un malware??Je te tiens au courant!

houlà pas de panique!! il s'agit de winfixer! Spybot s'en charge tres bien : -télécharge SpyBot-Search & Destroy: http://spybot.safer-networking.de/fr/download/index.html -l'installer et le configurer comme dans ce lien=> http://www.zebulon.fr/articles/spybot_1.php Tu met le logiciel à jour et tu scanne ton pc en mode sans échec.Est ce que tu as désactivé le service de message comme je te disait en début de discussion? si oui tu ne devrait pas avoir cette alerte!! Essaie ca et tiens moi au courant. Pas de quoi formater je t'assure! Profiites en pendant que tu y est pour désinstaller ceci pendant que tu es en mode sans échec: Passe par Installer /Désinstaller(Panneau de Configuration) et désinstalle les programmes suivant: -Winfixer -Vire le dossier (si tu trouves)=> c:\Program Files\Winfixer

Un grand merci à S!ri Ou as tu vu ce fichier ?=> msswchx.exe

En fait est ce que tu as utilisé l'outil de recherche de windows?? Parce que le problème est le suivant: je n'ai pas les chemins exacts des fichiers incriminés!J'imagine qu'ils se trouvent dans C:\WINDOWS\system32 -En ce qui concerne celui ci=>dmtdw.exe , Ewido s'en est occupé! -Voilà ce que tu vas faire pour virer les fichiers que tu n'as pas trouvé: -Télécharge la dernière version de Killbox ici=> http://www.downloads.subratam.org/KillBox.zip -Redémarre en mode sans échec. -Réessaie de virer ce dossier à présent: C:\Program Files\F-Secure Anti-Virus=> le dossier -Fermer toutes les applications en cours et lancer Killbox -Ouvre Killbox -Assure toi que la case "Delete on Reboot" soit cochée. -Dans la fenêtre tu as un champ à complêter:"Full Path Of File To Delete" ,copie/colle ceci: -C:\WINDOWS\system32\dmaje.exe -Cliquer sur la croix blanche sur fond rouge: « File will be Deleted on Next Reboot » répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » répondre NON Ainsi de suite tu entre les chemins de tout les fichiers=> -C:\WINDOWS\system32\ABCXYZ.exe -C:\WINDOWS\system32\browsebar.exe -C:\WINDOWS\system32\jopplerg.exe -C:\WINDOWS\system32\dePloy.exe -C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe à la fin: « will be Deleted on Next Reboot » Répondre OUI « File will be Removed on Reboot, Do you want to reboot now ? » Répondre OUI Le PC va redémarrer et supprimer le fichier de la liste. Copie /colle le contenu de ce fichier texte(en gras) dans ton prochain message=> C:\!KillBox\Logs\ kb

salut Liloute ,QC001 J'espère que QC001 ne m'en voudras pas pour l'incruste! Commence par faire ceci=> Redémarre en mode sans échec. 1)Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing) O23 - Service: inetdns (InetDns) (inetdns) - Unknown owner - C:\windows\system32\inetdns.exe (file missing) O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing) O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe (file missing) O23 - Service: network monitoring tools (windows network) - Unknown owner-C:\WINDOWS\nvcr32.exe (file missing) -Ferme tous les programmes et clique sur "Fix Checked" 2)-vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:network monitoring tools (windows network) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Fais pareil avec ces services=> SystemManager SMSS Print Spool Handler (Print Spooler) Defragmentation Management Handler (FAT Defragmentation) inetdns (InetDns) (inetdns) Quitte les services. 3)-vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete SystemManager Un message t'avertis du succès de l'opération.Fais la même chose avec ces services=> SMSS Print Spooler FAT Defragmentation windows network InetDns (si ca ne marche pas essaie avec =>inetdns) Quitte l'invite de commande. 4)Assure toi d'avoir accès à tous les fichiers. -5)Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\windows\System32\8tv5vslh.ini=> le fichier -C:\windows\System32\643dajee.ini=> le fichier -C:\windows\System32\67jivb3k.ini=> le fichier -C:\windows\System32\od1p5mi4.ini=> le fichier -C:\Sauve\Program Files\MySearch=> le dossier * Ceux ci ont normalement disqpu de ton disque dur, je te demande de vérifier quand même!=> -C:\WINDOWS\System32\dfrgfat32.exe=> le fichier -C:\windows\system32\inetdns.exe=> le fichier -C:\WINDOWS\smss.exe=> le fichier -C:\WINDOWS\sysmanager.exe => le fichier -C:\WINDOWS\nvcr32.exe=> le fichier -C:\WINDOWS\System32\spooler.exe => le fichier -Vide la corbeille. -6)Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification.

Tu as mis Ewido à jour et scanné ton pc en sans échec? oui poste le rapport stp!je voudrais voir si il a repéré ces fichiers que tu n'as pas trouvé=> -C:\WINDOWS\system32\dmaje.exe -C:\WINDOWS\system32\ABCXYZ.exe -C:\WINDOWS\system32\browsebar.exe -C:\WINDOWS\system32\jopplerg.exe -C:\WINDOWS\system32\dePloy.exe -C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe au fait, as tu fais ceci pour les voir ?=> Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer. Pour Fsecure: fais ceci=> -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:F-Secure Management Agent (FSMA) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Fais la même chosse avec les services suivants=> F-Secure Anti-Virus Firewall Daemon (FSDFWD) Quitte les services. Puis tu vires le dossier : C:\Program Files\F-Secure Anti-Virus=> le dossier -Vide le dossier. Reposte un rapport hijackthis.

le rapport est propre, peut tu poster le rapport de killbox spt ?=> un document au format texte nommé "kb" et que tu trouveras dans C:\!KillBox\Logs