Thanos

bonjour isabelleh ,tesgaz. tu peux lancer ton log en mode normal. non ne fixe pas la ligne , c'est toi qui a bloqué la page d'accueil d'internet explorer;c'est donc normal!(une sécurité contre le piratage). Merci pour ton intervention tesgaz

re dandy désolé pour toi sauvegarde tes données et formates, t'as raison je crois qu'il n'y plus que ca à faire @+

-Télécharge EasyCleaner http://personal.inet.fi/business/toniarts/ecleane.htm -redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte) -Assure toi d'avoir accès à tous les fichiers. -Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : -CPQHotkeys -CTHelper -Démarre HijackthisDo a system scan only, assure toi que la caseMake Backups before fixing items est activée et coche les lignes suivantes : 0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe O4 - HKLM\..\Run: [CPQHotkeys] hotkeysvc.exe O4 - HKLM\..\Run: [CTHelper] cthelper.exe O4 - HKLM\..\RunServices: [CPQHotkeys] hotkeysvc.exe O4 - HKLM\..\RunServices: [CTHelper] cthelper.exe O4 - HKCU\..\Run: [CTHelper] cthelper.exe O4 - HKCU\..\Run: [CPQHotkeys] hotkeysvc.exe O4 - HKCU\..\RunServices: [CPQHotkeys] hotkeysvc.exe O4 - HKCU\..\RunServices: [CTHelper] cthelper.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present=> est ce toi qui à émis cette restriction via SPybot? sinon coche la ligne O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll -Ferme toutes les fenêtres, tous les programmes et clique surFix checked -Supprime les fichiers/dossiers incriminés (s'ils existent encore) : -hotkeysvc.exe=>(Added by the W32/Rbot-XA WORM)dans C:\Windows\System32 -cthelper.exe=>(Added by a WORM, W32/Rbot-XB) dans C:\Windows\System32 =>si tu ne les trouve pas utilise la fonction rechercher. -Exécute EasyCleaner Inutiles et Registre seulement. Ne touche pas à la fonction doublon. -redémarre et poste un nouveau log hijack. Je ne vois pas de trace de Parefeu!!Si tu n'en a pas , va vite télécharger Zone Alarm (ou Kério) http://telechargement.zebulon.fr/58.html et sa configuration=> http://www.zebulon.fr/articles/configurationZA_1.php

salut isabelleh , bienvenue je demarre une analyse.

salut @ tous en attendant que Soktomy examine ton log, stp fais quelque chose pour ton Os: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Pack SP1 http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html ou mieux, Pack SP2 http://www.microsoft.com/france/windows/xp/sp2/default.mspx tu es à la merci de toutes les attaques....

salut dandy est ce que tu as déjà essayé de réparer le registre? Redémarres ton pc.Accède au menu du Boot.Choisis de démarrer sous DOS. Lorsque s'affiche=> C: tapes SCANREG /OPT /FIX. Lorsque c'est terminé, redémarres Windaube. (au cas ou tu jactes pas l'anglais ) Si une réparation de la bdr ne fonctionne pas , il reste l'exorcisme! je déconne mais c'est étonnant to soucis et une instal au dessus d'un systeme préexistant,ça ne fonctionne malheureusement pas toujours..

salut et bienvenue va faire un tour sur le lien suivant, tu y trouveras des infos interressantes, télécharges zebprotect et suit le tutorial : http://www.zebulon.fr/articles/zebprotect.php ca va fermer les ports sensibles de ton pc!

salut charlye et bienvenue sur le forum on va s'occuper de ce hacktool , mais en attendant, et comme une daube vient souvent accompagnée d'autres virus ; poste nous un log hijackthis selon la méthode suivante: Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

je continue les recherches , on va finir par trouver

salut dandy Excuse cette question un peu bebette, mais pour la disparition de ton icone Poste de Travail,est ce que tu as essayé ça?=> Clique droit sur le bureau --> propriétés --> onglet "bureau", personnalisation du bureau et tu cliques sur l'icone du poste de travail --> parametres par defaut. Je sais c'est faiblard mais on sait jamais Quant à l'explorateur , quel problème rencontres tu exactement?

je pense que tu peux installer ZA ou kério et Zebprotect sans problèmes. Zebprotect fermera les ports sensibles et ZA repoussera les attaques ! (moi j'ai PC-Cillin et zebprotect,aucun soucis)

re zox ; Mégataupe c'est bien ce que je te disait, j'ai dit une grosse connerie désolé et merci à Méga oui tu peux virer ctfmon du démarrage, c'est pas un processus vital source: http://www.commentcamarche.net/processus/ctfmon-exe.php3

salut zox je vois que tu as une armada de logiciel à ta disposition, mais ta oublié ca=> donc passage obligatoire: Pack SP1 http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html ou mieux, Pack SP2 http://www.microsoft.com/france/windows/xp/sp2/default.mspx non seulement ton systeme n'est pas à jour mais en plus t'as pas de firewall là tu prends des risques,ne t'etonnes pas si tu chopes des daubes.. Un bon Antitrojans à essayer : Télécharge a² Free : http://www.emsisoft.net/fr/software/free/ 2) Lance le et met le à jour. 3) Redémarre en mode sans échec,Lance et execute a² Free, supprime tous se qu'il te trouve. fais analyser ceci par sécurité chez : http://virusscan.jotti.org/ C:\Program Files\Amphibizorus\mirc.exe et pour finir trouves toi un parefeu gratos,c'est pas ce qui manque:Zone Alarm ou Kério par exemple.(Téléchargement sur Zébulon)

bonsoir à tous allez, on fait une pause bisou à la Ardisson Un grand merci a Stonangel bien sûr pour l'aide qu'il apporte aux autres(je sais maintenant le temps que ca prend) , pour sa disponibilité, pour tous les conseils qu'il prends le temps de donner aux autres comme à moi Et merci à Ipl ,Mégataupe,tesgaz, pour leur enseignement , leur dévouement , la passion qu'ils mettent à animer ce forum! grace à vous on en apprend tous les jours. merci Méga ca fait tres plaisir , mais il faut bien le dire je suis encore à des années lumières du niveau de stonangel qui sait peut être avec de la persévérance .. :-P un coucou à Philae (merci de passer) , à noisette etc et: longue vie au forum édit:je viens de lire ton petit mot gentil noisette merci à toi, on fait de son mieux ,à mon niveau on reste modeste

re zox effectivement ton log est propre juste une petite retouche: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file) voilà quelques lignes que tu peux cocher dans hijackthis. J'espere ne pas dire une connerie mais il me semble que quand l'espace est plein, plus de nouveaux points de restauration!(à confirmer)

salut etik,ozlefou je sais je radotte mais si vous voulez nettoyer correctement le pc faites ce que tesgaz a demandé: appliques cette procedure, elle est beaucoup plus efficace http://forum.zebulon.fr/index.php?showtopic=69176&st=0 de plus crééz votre propre sujet , c'est plus compréhensible!

salut @ tous hi hunter ! thanks for your links , it'll provide usefull infos about this great tool. ah si tout le monde pouvait utiliser ces pistes et faire les vérifications avant de poster merci olivier. Champagne,il arrive parfois que la restauration systeme soit salutaire quand rien ne fonctionne et on est bien content de trouver un point à restaurer même s'il est infecté! je ne dis pas qu'il faille restaurer un systeme vérolé , je dis qu'il faut la mettre de côté( et s'en servir si c'est la seule solution) en attendant de nettoyer le systeme.Une fois le pc clean , on peut désactiver la restauration puis la réactiver pour qu'un nouveau point soit créé.Mais c'est vrai que les avis sont partagés sur la question...

salut zox s'il s'agit bien de: Systeme volume information ,c'est le dossier ou sont mises les sauvegardes de restauration.En cas de problèmes , la restauration système est tres utile: je te déconseille vivement de l'effacer , même s'il contient des virus; parce qu'il vaut mieux avoir des points de restauration vérolés que rien du tout(c'est une sécurité). Par ailleur c'est protégé, je ne suis pas sûr qu'il soit possible de l'effacer comme ca! Poste nous plutôt un log hijack , une fois ton pc propre tu pourra virer les points de restauration, pas avant!! voilà la procédure:(par Mégataupe) Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924 -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm avec copies d'écran. - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

re dans les menus de regseeker, tu as un menu nettoyer le registre (ensuite taper ok)et à chaque ligne inutile correspond un logiciel mal désinstallé ou un raccourci qui ne mène à rien....et le chemin d'accès sur le disque dur ainsi que l'emplacement dans la base de registre. Une fois la liste établie soit tu vires tout(onglet"sélectionner tout "en bas à gauche, la liste change de couleur;puis clic droit dessus et supprimer les éléments sélectionnés) soit tu choisis ce que tu veux virer.Il y a aussi un menu "Applications installée" qui remplace le "Installer /Désinstaller" du Panneau de config..etc

salut gravman ben un logiciel comme "Regseeker"avec sa fonction "rechercher" dans la base de registre; tres pratique=> http://www.hoverdesk.net/freeware.htm ou "regcleaner", qui nettoient les restes de logiciels mal désinstallés.

salut à tous ouaip, 512 mo c'est un minimum maintenant pour faire tourner xp...en plus le prix de la ram baisse! édit: j'aime pas mettre tous mes oeufs dans le même panier alors pour moi , c'est une partition pour le systeme et une pour les données.

salut canard gaffe à ça=>C:\Program Files\eMule\eMule.exe c'est une des raisons de ton infection (nid à daubes) bon courage

elohel vient de faire remonter le topic duquel je tire les conseils de krystyna! (désinfection win 98 par Miss Monde avec des problemes similaires aux tiens) une ligne rajoutée par ipl qui me fait penser que tu peux tenter la restauration=> avant de restaurer, sauvegarde la BdR => Il faut sauvegarder les fichiers suivants : 1/ créer un répertoire save dans le répertoire Windows 2/ y copier les fichiers -C:\windows\system.dat -C:\windows\user.dat -C:\Config.sys -C:\Autoexec.bat -C:\Windows\System.ini -C:\Windows\Win.ini(merci ipl ) les fichiers étant cachés, choisir "afficher tous les fichiers" dans l'explorate voilà à présent tu peux restaurer ton pc sans craintes tiens nous au courant

ce n'est pas ce qu'on s'attendait à trouver dans les clés en question. Ipl qui a été confronté à ce problème à posté ceci, il s'agit de faire une restauration: J'aimerai juste savoir ci la restauration n'affecte pas les données, avant que tu n'effectues ceci(si tu es d'accord!).Je poste un mp a ipl pour avis. à tout de suite...

re je ne sais pas si on procède comme sur windaube xp mais si c'est le cas: tu vas sur Démarrer=>Exécuter=>et tu tapes dans la fenêtreregedit c'est le centre névralgique du pc! pour plus d'infos je te renvoie à l'article de tesgaz,tres clair et accessible: http://www.zebulon.fr/articles/base-de-registre-1.php tu verras les 2 arborescences nommées HKEY_CURRENT_USER et HKEY_LOCAL_MACHINE ,a gauche il y a un signe + , lorsque tu cliques dessus; tu accèdes à des "sous menus".Par exemple pour aller ici: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer tu dois cliquer à gauche de Software(signe +),aller jusqu'à Microsoft,cliquer sur le signe+ ...etc jusqu'à la clé "Explorer". Lorsque tu clique sur "Explorer", il y a des valeurs qui s'affichent sur la page de droite. Vérifie ce que Krystyna nous propose, et ne modifie que les valeurs qu'elle indique(NoControlPanel,NoDesktop,NoSMMyDocs,NoDrives) . Si les valeurs sont de 1,clique-droit, choisis modifier, et mets la valeur 0 edit: je suis vraiment trop lent