Thanos

salut steroban,bonne année mon zami ! Allez , il me reste encore un ou deux neurones actifs, malgré les 5 grammes qui circulent difficilement dans mon organisme (jour de l'an oblige!) Registry Search Tool a trouvé la bêêête!!On va faire un fichier reg pour éliminer blazefind: Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 et une ligne vierge aprés la derniere ligne) : REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX compatibility\{71ED4FBA-4024-4bbe-91DC-9704C93F453E}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{C5941EE5-6DFA-11D8-86B0-0002441A9695}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBED6A02-71FB-11D8-86B0-0002441A9695}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Windows SA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA] -Dans le menu "Fichier" , enregistrer ce fichier dans : Bureau -Nom du fichier : remove.reg -Type : tous les fichiers -cliquer sur Enregistrer -quitter le Bloc Notes -Redémarre en mode sans échec. -Clique sur le fichier reg pour qu'il s'exécute.Un message te demandera la fusion,accepte. -Redémarre,refais le scan en ligne Panda,et poste le rapport. Edit:je viens de m'apperçevoir que j'avais ooublié de mettre un point entre remove et reg(dans le nom du fichier à créer)ésolé!!si tu ne met pas ce point , le fichier ne fonctionnera pas!!

salut clems0784 ,bonne année! Dis donc , ca c'est des résolutions pour l'année 2006 Tres bien! Exact!On va faire un tour dans le registre et virer manuellement ces services: Passe par Démarrer, Exécuter puis tape regedit dans la fenêtre. Recherche la clé HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services en utilisant les signes "+" à gauche. Fais un clic droit avec ta souris sur la clé Services ,puis clique surExporter. Dans le champs "Enregistrer dans ", met le nom du dossier ou tu vas sauvegarder cette clé. Dans le champs "Nom du fichier", donne un nom a cette sauvegarde (saveservice par exemple). Clique sur enregistrer. A présent que l'on a pris les précautions nécéssaires, dans => HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services recherche les sous clé suivantes : -PixelModule (pxlmdl) -ms svc host (scvhost) -Service Hosts (ServiceHost) Fais un clic droit sur chacune de ces clés et fais "supprimer".Quitte le registre. Redémarre le pc. Poste un nouveau rapport Hijackthis(en mode normal) pour vérification.Si tout vas bien tu pourras effacer la clé que tu auras sauvegardé.

salut steroban Bizarre ce message d'erreur!On va essayer avec un autre tool,qui a la même fonction: -Télécharge Registry Search Tool de billsway(en bas de page): http://www.billsway.com/vbspage/ Si ton antivirus se déclenche ,désactive le blocage de scripts dans les options de ton antivirus. Dézippe Registry Search Tool et lance le . Copie/colle les lignes que je t'ai énoncé plus haut dans la boite de recherche. Poste les résultats.

salut geromanu Ton rapport est clean!Est ce que tu veux bien faire un dernier scan en ligne: Fais un scan en ligne avec Kaspersky WebScanner Clique sur Kaspersky Online Scanner On va te demander d'installer un contrôle ActiveX ,clique sur Yes. * Le programme va démarrer et télécharger les dernières mises à jour: * une fois la mise à jour terminée,clique sur NEXT * clique sur Scan Settings * Dans le menu du scan assure toi que les éléments suivants sont sélectionnés: o Scan using the following Anti-Virus database: Extended (si possible,sinon:Standard) o Scan Options: Scan Archives Scan Mail Bases * Clique sur OK * A présent sous "select a target to scan": choisis My Computer * Le programme va se lancer et scanner ton systeme. * Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté. o A présent clique sur le bouton "Save": * Sauvegarde le fichier sur ton bureau. * Copie/colle le contenu dans ton prochain message. Pour ce qui est des problèmes de lenteur, il y a peut être trop de services qui se lancent au démarrage!, je te conseille apres qu'on ait fini, de poster ton log sur le sous forum optimisation=> http://forum.zebulon.fr/index.php?showforum=52 @+tard et bonnes fêtes

salut clems0784 Le rapport d'Ewido ne montre rien d'infectieux(les cookies traceurs,ca n'est pas une infection,on en a tous) et le rapport de Kaspersky est clean,super!! Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing) O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing) O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) -Clique sur "Fix Checked" -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Poste un nouveau rapport Hijackthis(en mode normal) pour vérification,si les lignes 023 sont encore présentes dans ton prochain rapport,on ira les déloger directos dans la base de registre! A part ca, comment fonctionne ton pc?

salut Maelysroma Je ne comprend pas que kaspersky persiste à voir un fichier infecté alors que virus total et jotti avec leur quinzaine d'antivirus n'ont rien détecté Je vais faire une recherche là dessus! Il va falloir que tu ailles faire un tour dans le registre: 1.Clique sur Démarrer/Exécuter, tape regedit, dans la zone Ouvrir et cliquez sur OK. 2.Recherche la clé de Registre suivante ,en utilisant les signes" + "à gauche de la clé pour naviguer: HKLM\Software\Microsoft\Windows\CurrentVersion\Run 3.Dans le volet droit, repère la ligne suivante: TrustMailPoke2 = C:\Documents and Settings\All Users\Application Data\Rdr Third Trust Mail\tick dent.exe 4.Supprime cette ligne en cliquant dessus avec le bouton droit de ta souris , puis fais Supprimer Reposte un nouveau rapport hijackthis en mode normal.

salut clems0784,Jack Je vois que tu as suivi le conseil de Jack,et que u as téléchargé Zone Alarm,c'est une bonne chose! (je n'avais pas fais gaffe!) On va se débarrasser de ces servces qui sont inopérants à présent: -vas dans le menu démarrer executer et tu tapes : services.msc Cherche le service suivant:cyberz mansor (mansor) Double clic dessus :dans le champs"Status du service" met le sur "arrêté" dans le champs"Type de démarrage" met le sur "désactivé" puis "Appliquer" puis"ok" Quitte les services. -vas dans le menu démarrer executer et tu tapes :cmd dans la boite de dialogue qui s'ouvre, tu tapes : sc delete cyberz mansor Un message t'avertis du succès de l'opération.(si ca ne fonctionne pas essaie avec le nom entre parenthèses:sc delete mansor) Fais la même chose avec ces services=>(si ca ne fonctionne pas essaie avec le nom entre parenthèses) PixelModule (pxlmdl) ms svc host (scvhost) Service Hosts (ServiceHost) Poste un nouveau rapport hijackthis en mode normal avec le rapport du scan suivant: Fais un scan en ligne avec Kaspersky WebScanner Clique sur Kaspersky Online Scanner On va te demander d'installer un contrôle ActiveX ,clique sur Yes. * Le programme va démarrer et télécharger les dernières mises à jour: * une fois la mise à jour terminée,clique sur NEXT * clique sur Scan Settings * Dans le menu du scan assure toi que les éléments suivants sont sélectionnés: o Scan using the following Anti-Virus database: Extended (si possible,sinon:Standard) o Scan Options: Scan Archives Scan Mail Bases * Clique sur OK * A présent sous "select a target to scan": choisis My Computer * Le programme va se lancer et scanner ton systeme. * Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté. o A présent clique sur le bouton "Save": * Sauvegarde le fichier sur ton bureau. * Copie/colle le contenu dans ton prochain message.

salut veuve noire,bibi26 Pour supprimer le compte à rebours : demarrer -> executer, tape: shutdown -a Ensuite tu postes un rapport hijackthis selon cette procédure => http://forum.zebulon.fr/index.php?showtopic=69176 @ bientot

salut rafos et bienvenue sur ce forum On va commencer par s'occuper de L2M qui a infecté ton pc: Télécharge L2mfix (de Shadowwar) de l'un de ces liens : http://www.atribune.org/downloads/l2mfix.exe http://www.downloads.subratam.org/l2mfix.exe Sauvegarde-le sur ton Bureau et double-clique l2mfix.exe. Clique sur le bouton Install pour en extraire le contenu et suis les directives, puis ouvre le nouveau dossier "l2mfix" qui se trouve sur le Bureau. Double-clique l2mfix.bat et choisis l'option #1 pour Run Find Log en tapant 1 et ensuite Entrée. Le scan débutera sans générer d'indications, puis, après une minute ou deux, un fichier texte apparaîtra. Copie/colle le contenu de ce rapport ("report.txt") dans ta prochaine réponse. IMPORTANT : NE PAS lancer l'option #2 OU autres fichiers situés dans le dossier "l2mfix" sans l'avis d'un conseiller ! Par contre, si une erreur s'affiche en lançant l'option #1, similaire à ceci : ''C:\windows\system32\cmd.exe C:\windows\system32\autoexec.nt the system file is not suitable for running ms-dos and microsoft windows applications. Choose close to terminate the application.."...alors utilise l'option #5 ou le lien web fourni dans le dossier "l2mfix" afin de résoudre cette erreur. Ne pas lancer d'autres options avant d'avoir réglé ce pépin.

salut vld Non,je ne t'ai pas oublié!! Mais je dois m'assurer d'une chose avant de fixer quoique ce soit! Le problème étant que wupdinfo.dll est peu être bien lié à Windows update et non au spyware Wupd! Il ne faudrait pas effacer une cle CLSId utile(la première est relative à Acrobat Reader et ne nous interresse pas mais pour les autres il faut être sûr)!Les infos sur cette clé ne sont pas tres claires,mais je te donne une réponse assez tôt @+tard

salut steroban Ca fait plaisir manque plus que ce Blazefind qui s'accroche tel le morbak Je n'utilise pas thunderbird ,mais il doit bien y avoir un tuto pour le paramétrer et interdire certaines adresses. Si je trouve ca,je te le poste. Cette cochonnerie détectée par Panda=> blazefind résiste visiblement au fix de Symantec... Y a plus qu'à rechercher manuellement! Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle {71ed4fba-4024-4bbe-91dc-9704c93f453e} dans la première ligne de la zone de recherche - rien dans la deuxième ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel Fais la même chose avec les lignes suivantes: {83de62e0-5805-11d8-9b25-00e04c60faf2} {c5941ee5-6dfa-11d8-86b0-0002441a9695} {fbed6a02-71fb-11d8-86b0-0002441a9695} omniscient.exe windows sa Poste les rapports de regsearch si il trouve quelque chose. @+tard

salut steroban Encore quelques daubes on dirait! -Des infections détectées dans ce dossier(ta boite de réception)=> C:\Documents and Settings\steroban\Application Data\Thunderbird\Profiles\kj15g70h.default\Mail\Local Folders\Inbox vide le dossier en gras.Une remarque:avant d'ouvrir n'importe quelle pièce jointe,fais la toujours analyser par ton AV. -Efface les fichiers ci dessous: -C:\Program Files\MessengerDiscovery\killmd.exe=> le fichier Utilises tu le programme downloader23?sinon efface le programme entier -C:\programmes\downloader23=> le dossier -C:\programmes\downloader23.zip.mwt=> le dossier -C:\programmes\MDX_Update_2.1.exe => le fichier -C:\programmes\MDX_Update_2.1.exe/data0001=> le fichier -H:\fichier ou programmes recus (compresser)\=>qui as 'il d'autre dans ce dossier que hhousefree.exe?si c'est tout ce qu'il contient ,vide le dossier. *Concernant ceci: C:\System Volume Information\_restore{C8C8E54D-BC41-4EDA-9C49-A4BD4361FB62}\RP4\A0000700.exe Infected Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument Cliquez sur Démarrer. Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés. Cliquez sur l'onglet «Restauration du système». Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs» Cliquez sur Appliquer. Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui. Cliquez sur OK, redémarrer votre PC.Puis tu remet la restauration en route en faisant la manoeuvre inverse. *Vide le contenu du dossier en gras : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery Un coup d'easy cleaner par dessus!Puis un scan en ligne avec Panda pour finir

salut Maelysroma Concernant le fichier que tu as analysé avec les virusscan: kaspersky a détecté un fichier illégitime=> C:\WINDOWS\system32\lѕass.exe Est ce que tu n'en a trouvé qu'un? Le fichier qui appartient à Windows et qu'il ne faut pas effacer sous peine de plantages,s'écrit avec un L ,est ce que tu as un Issas (avec un I)? Quelques lignes à effacer avec hijackthis: Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {9A804D46-9E19-8EFE-81A3-45B5F1316CF7} - (no file) O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TrustMailPoke2] C:\Documents and Settings\All Users\Application Data\Rdr Third Trust Mail\tick dent.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe -Clique sur "Fix Checked" *Rdr Third Trust Mail apparait toujours sur ton log,peut être un bug HJT... On va s'assurer de sa présence ou non: Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colletick dent.exe dans la première ligne de la zone de recherche - rien dans la deuxième ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel Poste le rapport et refais ,s'il te plait un san chez Kaspersky

Vundo a disparu!On continue la désinfection . -Télécharger la version d'essai d'Ewido=>ici : et l'installer (important: pendant l'installation, sur la page "Additional Options" décocher les deux options "Install background guard" et "Install scan via context menu")Met le à jour. -TéléchargeEasyCleaner(installe le dans son dossier) redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. Démarre Hijackthis=>Open Misc Tools Section=>Delete an NT Service et copie colle exactement le nom suivant dans la fenêtre qui vient de s'ouvrir et clique sur "OK": dllhost32 Recommence avec les noms suivants: ServiceHost scvhost pxlmdl Puis tu cliques sur "Back" , puis "Scan"et coche les lignes suivantes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll (file missing) O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll (file missing) O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing) O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing) O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) -Clique sur "Fix Checked"[/b] -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -C:\WINDOWS\System32\scvhost32dll.exe=>le fichier -C:\sbd789.exe=>le fichier -C:\WINDOWS\system32\dllcache\DISKINFO.EXE=>le fichier Les fichiers suivants doivent avoir disparu,assure t'en: -C:\WINDOWS\nvidcgui.exe=>le fichier -C:\WINDOWS\shost.exe=>le fichier -C:\WINDOWS\System32\svchost32.exe=>le fichier -Vide la corbeille. -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. -Lances Ewido et cliquer sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garder l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée). A la fin du scan, Sauver le rapport (Fichier/Enregistrer sous...) Redémarre normalement et poste un nouveau rapport Hijackthis(en mode normal) pour vérification+le rapport d'Ewido

clems0784 ,s'il te plait ne lance pas un nouveau message,à chacune de tes réponses,sinon ca va devenir incompréhensible!:je continue la discussion sur le premier message que tu as posté.Un modérateur va devoir fermer ce topic. La suite ici=> http://forum.zebulon.fr/index.php?showtopic=83212

salut Maelysroma je te crois!Reposte un log hijacthis en mode normal pour voir si la ligne est toujours présente. Pour ce qui est des fichiers temporaires,tu en a éliminé puisque le résultat du scan n'en détecte plus que quelque uns,les plus coriaces!On va procéder autrement pour les effacer.Lop a disparu,mais Swizzor s'accroche! -télécharge killbox et dézippe le dans un dossier: http://www.bleepingcomputer.com/files/spyware/KillBox.zip -l'interêt ici est de supprimer cette liste => C:\Documents and Settings\Administrateur\Local Settings\Temp\1597c6.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\16acd92.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\16c9fe.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\283764.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\5c95a5.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\5de600.exe C:\Documents and Settings\Administrateur\Local Settings\Temp\cde828.exe -Ouvre killbox,va dans le menu Tools et clique sur: "Delete Temp Files" ca devrait fonctionner.Une fenêtre va s'ouvrir et se refermer rapidement.Va constater que les fichiers ont bien disparu.Si ca ne marche pas recommence la m^me opération,mais en mode sans échec. *Ceci,détecté par Kaspersky=> C:\System Volume Information\_restore{8667E436-2522-4680-B840-C03F318D99E6} signifie que la restauration de windows est infectée,pour se débarraser des éléments incriminés,fais ca: Une fois ceci fait,réactive la restauration en faisant la manipulation inverse. - Vide le contenu du dossier en gras,sauf le fichier index.dat=> C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5 -Concernant ce fichier (en gras): C:\WINDOWS\system32\lѕass.exe Je voudrais juste que tu ailles dans le dossier system32 , et que tu regardes combien tu as de fichiers portant ce nom (n'efface rien).Fais les analyser par virus scan=> 1- Jotti: http://virusscan.jotti.org/de/ 2- http://www.virustotal.com/flash/index_en.html communiquer le rapport. -Efface ce fichier: C:\WINDOWS\system32\o=>le fichier en gras passe un coup d'Easycleaner "inutiles" et "registre". Poste un log HJT en mode normal

salut cjulie91,angelique Détrompes toi!certains fichiers infectieux qui apparaissaient dans ton premier rapport ont disparu! La procédure a bien fonctionné,mais il ya encore du boulot!Je pars bosser,en attendant peut tu faire ceci=> Ajoutes y un rapport hijackthis en mode normal.Vraiment désolé de pas pouvoir continuer ce soir,suis les conseils d'angelique,et poste le rapport d'Ewido.

J'ai oublié en parcourant ton rapport ceci=> msupdate32.dll Ton pc semble etre infecté par Smitfraud (entre autres!),responsable des alertes que tu reçois.Fais cette manipulation avant toute chose (j'analyserai tes rapports demain matin)=> télécharge l'utilitaire de S!Ri,moe31 et balltrap34: http://siri.urz.free.fr/Fix/SmitfraudFix.zip Tu le décompresses tu double cliques dessus et tu choisis l’option 1 Cela va générer un rapport,poste le. Redémarre en mode sans échec: Relance le et choisis cette fois l’option 2 et réponds ouià tout Redémarre et communique le nouveau rapport avec un nouveau rapport Hijackthis

salut IceQube Ton pc est bien infecté!Je n'ai pas le temps suffisant pour analyser ton rapport,commence par faire ceci en attendant qu'un conseiller vienne t'aider=> Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse,ainsi qu'un nouveau rapport hijackthis. Si personne n'a analysé ton rapport d'ici demain matin,je m'y colle.

impec!Comment fonctionne ton pc?

salut lomaster Arme toi de courage si tu veux t'attaquer à ce rapport parce que là c'est le triathlon assuré Il va falloir faire appel à Spysweeper entre autres!je n'ai malheureusement pas le temps d'analyser ce log, si le coeur t'en dit...bon courage

Ton rapport est clean,mais ca ne signifie pas que ton pc est exempt de malwares! N'oublie pas le rapport du scn enligne quand tu pourras

-Concernant cette ligne=> O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll C'est une dll qui appartient à ton antivirus (Bitdefender),donc légitime. -TéléchargeEasyCleaner(installe le dans son dossier) redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) Assure toi d'avoir accès à tous les fichiers. Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes : O4 - HKLM\..\Run: [showWnd] ShowWnd.exe Clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -ShowWnd.exe=>le fichier dans C:\WINDOWS\System32 certainement. Si tu ne le trouve pas lance une recherche. -Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose. Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification. Fais un scan en ligne avec Kaspersky WebScanner Clique sur Kaspersky Online Scanner On va te demander d'installer un contrôle ActiveX ,clique sur Yes. * Le programme va démarrer et télécharger les dernières mises à jour: * une fois la mise à jour terminée,clique sur NEXT * clique sur Scan Settings * Dans le menu du scan assure toi que les éléments suivants sont sélectionnés: o Scan using the following Anti-Virus database: Extended (si possible,sinon:Standard) o Scan Options: Scan Archives Scan Mail Bases * Clique sur OK * A présent sous "select a target to scan": choisis My Computer * Le programme va se lancer et scanner ton systeme. * Lorsque le scan est terminé, un message t'avertit si ton systeme est infecté. o A présent clique sur le bouton "Save": * Sauvegarde le fichier sur ton bureau. * Copie/colle le contenu dans ton prochain message.

salut doundar Pas que cette ligne!Celle ci est douteuse : O4 - HKLM\..\Run: [showWnd] ShowWnd.exe est un trojan. Peut tu faire ceci et poster le rapport: HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici. As tu suivit la procédure de nettoyage?je te la recommande chaudement!=> http://forum.zebulon.fr/index.php?showtopic=69176 Grillé par tesgaz LOL

On va commencer par s'occuper de Vundo: mprime ces instructions, ou colle les dans un fichier texte (pour lecture en mode Sans Échec). Télécharge VundoFix (par Atribune) de ce lien, et sauvegarde le sur ton Bureau : http://www.atribune.org/downloads/VundoFix.exe Double-clique VundoFix.exe afin d'en extraire les fichiers. Ceci va créer un nouveau dossier VundoFix sur ton Bureau. Redémarre en mode Sans Échec : tapote la touche F8 au démarrage, puis choisis "Mode Sans Échec" à partir de l'écran d'options (utilisant les flèches du clavier) et valide avec "Entrée". Choisis ton compte utilisateur usuel, et non "Administrateur". Ouvre le dossier VundoFix et double-clique sur KillVundo.bat Tu verras cet avertissement : Appuie sur "Entrée" une fois. Tu verras ceci : À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous : C:\WINDOWS\System32\pmnnl.dll Appuie sur Entrée pour la suite. Tu verras ceci : À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous: C:\WINDOWS\System32\lnnmp.* Appuie sur Entrée pour la suite. L'outil va faire son travail, puis HijackThis! devrait se lancer; s'il ne se lance pas automatiquement, prière de le lancer. Clique sur "Do a system scan only". Coche ces lignes (possible que la ligne O2 n'y soit plus), puis clique FIX CHECKED: <O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll> <O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll> <O23 - Service: kasjduijeuusdfs (dllhost32) - Unknown owner - C:\WINDOWS\System32\scvhost32dll.exe> <O23 - Service: ms svc host (scvhost) - Unknown owner - C:\WINDOWS\System32\svchost32.exe (file missing)> <O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) > <O23 - Service: PixelModule (pxlmdl) - Unknown owner - C:\WINDOWS\nvidcgui.exe (file missing)> Ferme HijackThis!. Appuie sur "Entrée" pour fermer le programme, puis redémarre ton PC. Lorsque redémarré, continue avec les instructions qui suivent : Télécharge Cleanup40 de ce lien, et sauvegarde le sur ton Bureau : http://www.stevengould.org/downloads/cleanup/CleanUp40.exe Lance Cleanup! en double-cliquant sur le fichier téléchargé. Sélectionne: * Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users Clique sur le bouton CleanUp! pour lancer le programme. S'il te demande de redémarrer, clique NO. Fais un ActiveScan en ligne chez Panda ici : http://www.pandasoftware.com/products/activescan.htm Tu dois utiliser Internet Explorer pour faire ce scan; on te demandera d'installer un contrôle ActiveX; Accepte. Coche "My Computer" pour le scan Lorsque terminé, clique "See report", puis "Save report"; sauvegarde le rapport. Copie/colle le rapport de Panda dans ta prochaine réponse, et poste un nouveau rapport HijackThis! ainsi que le rapport de VundoFix situé dans le dossier Vundofix (vundofix.txt).