pear

C'est gentil à vous. Le meilleur moyen de me remercier est d'éditer votre message initial et d'y indiquer en tête "Résolu"

Vous m' avez écrit: J'en attendais le rapport. Ce n'est pas grave: Téléchargez Malwarebytes' Anti-Malware (MBAM) [branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc) Si vous utilisez Spybot Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:! Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. * Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation. Enregistrez le sur le bureau . Fermer toutes les fenêtres et programmes Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet) N'apportez aucune modification aux réglages par défaut et, en fin d'installation, Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. cliquer sur OK pour fermer la boîte de dialogue.. Si la mise à jour automatique échouait pour une raison quelconque,par exemple une installation de Mbam sur clé usb, Téléchargez la mise à jour ici double-cliquer sur le fichier mbam-rules.exe pour installer la mise à jour * Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour: Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez. * Une fois la mise à jour terminée, allez dans l'onglet Recherche. * Sélectionnez "Exécuter un examen complet" * Cliquez sur "Rechercher" * .L' analyse prendra un certain temps, soyez patient ! * A la fin , un message affichera : L'examen s'est terminé normalement. *Si MBAM n'a rien trouvé, il le dira aussi. Cliquez sur "Ok" pour poursuivre. *Fermez les navigateurs. Cliquez sur Afficher les résultats . *Sélectionnez tout et cliquez sur Supprimer la sélection , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs. * Copiez-collez ce rapport dans la prochaine réponse.

oui, ici , une infection Usb: [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e709ab9-0716-11dd-b5d7-00184d71c88a}] shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe On verra cela plus tard.

Il vous suffit de redémarrer. A part cela, qu'en est-il de votre problème initial ? Encore un souci ?

Vous avez fait ceci? Vous avez rechercher quand vous voulez Ouvrir ou Explorer un dossier ou un fichier 1)Démarrer > Exécuter > regsvr32 /i shell32.dll valider 2) Copiez-Collez dans le bloc-notes ce qui suit,enregistrez avec extension.reg et fusionnez. Pas de ligne blanche avant ce qui suit. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Directory\shell] @="none" [HKEY_CLASSES_ROOT\Drive\shell] @="none" [HKEY_CLASSES_ROOT\Folder\shell] @="open" après avoir téléchargé la dll==>> http://www.dll-files.com/dllindex/dll-files.shtml?mshtml " utiliser la procédure suivante: 1. Cliquez sur Démarrer, puis sur Exécuter. 2. Dans la zone Ouvrir, tapez sfc, puis cliquez sur OK. 3. Cliquez sur Extraction d'un fichier à partir du disque d'installation . 4. Dans la zone de texte, tapez msvcrt.dll,* puis cliquez sur Démarrer. 5. Cliquez sur OK, puis suivez les instructions relatives à la sauvegarde du fichier existant avant de l'écraser. 6. lorsque le système vous invite à redémarrer votre ordinateur, cliquez sur Oui.

Lancez l'option 2 lancez l'option 2 (Suppression) Le pc sera redémarré.Soyez patient.

Bonjour, Documents and Settings - Déplacer le dossier sur une autre partition Le dossier "Mes documents" est facile à déplacer (Propriétés du dossier, bouton Déplacer), Le dossier "Documents and Settings" donne plus de fil à retordre... Dans ce dossier, le système stocke les profils des utilisateurs et donc les paramétrages et dossiers spécifiques à chaque session. Recommandations: Cette manipulation n'est pas sans danger puisqu'elle intervient dans la base de registres. Il est donc fortement recommandé de créer d'abord un point de restauration système (cf lettre R - Restauration du système) . Cette manipulation est plus efficace immédiatement après installation du système, avant la création des comptes d'utilisateurs et l'installation des programmes installés. 1. Définir le nouvel emplacement: * Créer un compte d'utilisateur temporaire (Ex: Transfert ) avec les droits d'administration. * Fermer la session en cours et se loger dans ce nouveau compte (ne pas se contenter de basculer!). * Ouvrir l'explorateur et créer un nouveau dossier sur la partition d'accueil pour y placer les profils, par exemple: E:\Documents and Settings 2. Copier les profils: * Copier dans ce nouveau dossier tous les profiles existants dans le dossier Documents and Settings original. Note: si la copie se fait de NTFS à NTFS, utiliser la commande XCOPY avec le commutateur /X afin de conserver les autorisations. Exemple pour copier les profils de C: vers E: * Par Démarrer/Exécuter... (ou Windows+R) saisir cmd * Dans la fenêtre d'invite, taper XCOPY "C:\Documents and Settings\*.*" "E:\Documents and Settings" /E/C/H/K/X 3. Intervenir dans le Registre: * Par Démarrer / Exécuter.. (ou Windows+R), saisir regedit. * Sélectionner la clé HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList . * Double-cliquer sur la valeur ProfilesDirectory. * Modifier la donnée en donnant le chemin vers le nouveau dossier (Exemple: E:\Documents and Settings) . Cliquer sur OK. * Vérifier et modifier les valeurs et leurs données dans les sous-clés de ProfileList. (nom tel que S-1-5-21-1214440339-1993962763-1202660629-500. * Adapter la donnée de la valeur ProfileImagePath en fonction du nouveau chemin (Exemple E:\Documents and Settings\Administrateur au lieu de %SystemDrive%\Documents and Settings\Administrateur). * Se positionner au début de l'arborescence du Registre et, par Ctrl+F, faire une recherche portant sur la chaîne Documents and Settings ainsi que son nom court, habituellement DOCUME~1, dans tout le Registre et modifier le disque assigné en fonction du nouvel emplacement. * Quitter l'éditeur de Registre. 4. Vérification et fin de procédure: * Redémarrer en Mode sans échec (F8 au démarrage). * Ouvrir la session Administrateur (et non pas une session utilisateur avec droits d'administration). * Faire quelques vérifications pour s'assurer que le nouveau chemin est bien pris en compte. 5. Après vérification, supprimer l'ancien dossier Documents and Settings. 6. Supprimer le compte d'utilisateur temporaire créé au début de la procédure (dans l'exemple: Transfert). 7. Se loger dans la session de chaque compte d'utilisateur, ouvrir le Registre et vérifier que le chemin vers Documents and Settings est doté de la nouvelle lettre de partition/lecteur. 8. Redémarrer l'ordinateur en mode normal. Le système utilisera désormais ce nouveau chemin pour tout ce qui concerne les profils de sessions utilisateurs. Voici la fiche Microsoft N° 236621. http://support.microsoft.com/?id=236621 D'après La Tanière: http://www.d2i.ch/pn/az/d.html

Bonjour, IL y avait un problème avec Combofix lorsdu lancement de CfScript. Si une fenêtre d'erreur apparaît avec "pv.cfexe has encountered a problem and needs to close" ; cliquez sur "Ne pas envoyer le rapport" et l'outil poursuivra l'analyse. Cette erreur peut apparaître deux fois en début d'analyse. Une nouvelle version(hier à 17.28) corrige le problème.

Bonjour, Télécharger Usb Fix , sur le bureau/b] http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe UsbFix Lancer l'installation avec les paramètres par défault Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir Double clic sur le raccourci UsbFix sur le bureau Choisir l option 1 (nettoyage) le rapport UsbFix.txt est sauvegardé à la racine du disque .

Bonjour, Il n'y a pas de rootkit. Si c'est le calendrier des restaurations: Cliquez sur Démarrer/Exécuter puis saisissez ces trois commandes : regsvr32 jscript regsvr32 vbscript regsvr32 /i mshtml ou Téléchargez ce petit utilitaire créé par Doug Knox : http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip Dézippez le sur le Bureau, puis lancez le cliquez "Repair" et redémarrez Aucun point de restauration n'est proposé : Copier/coller ce qui suit dans le bloc notes, sans ligne blanche au début. Enregistrez sur le bureau sous restau.reg. Cliquez droit sur le fichier ->fusionner Acceptez la modification du Régistre: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\.htc] "Content Type"="text/x-component" @="htcfile" [HKEY_CLASSES_ROOT\MIME\Database\Content Type\text/x-component] "CLSID"="{3050f4f8-98b5-11cf-bb82-00aa00bdce0b}" "Extension"=".htc" [HKEY_CLASSES_ROOT\CLSID\{3050f4f8-98b5-11cf-bb82-00aa00bdce0b}] @="Microsoft Html Component" [HKEY_CLASSES_ROOT\CLSID\{3050f4f8-98b5-11cf-bb82-00aa00bdce0b}\InProcServer32] @="C:\\WINDOWS\\System32\\mshtml.dll" "ThreadingModel"="Apartment"" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.htc] "Content Type"="text/x-component" @="htcfile" Pour réparer la Restauration Système: Assurez vous de la propreté du PC(Scans Antvirus et malwares). Ensuite, Démarrez en mode sans échec et renommez, si vous le trouvez, le fichier Hptpro.sys qui se trouve dans C:\Windows\system32\drivers Puis Démarrer => Exécuter et Copiez/collez la commande : rundll32.exe advpack.dll,LaunchINFSection %systemroot%\Inf\sr.inf La fonctionnalité de Restauration du système sera complètement réinstallée. Un changement de disque dur et le transfert des partitionsà partir de l'ancien disque empêche l'exécution de l'utilitaire de restauration. Cela peut même occasionner une erreur d'exception. Le coupable est le fichier drivetable.txt situé dans le dossier System Volume Information\_restore{chaîne hexadécimale}. Ce fichier contient la structure des disques durs et devient obsolète si l'un des disques a été changé. Détruire ce fichier puis tenter la création d'un point de restauration. Le système signale qu'il est impossible de créer ce point de restauration et demande un redémarrage. Lors du redémarrage, un nouveau fichier drivetable.txt est automatiquement créé avec la structure correcte. Si cela ne suffisait pas, par exemple faute du fichier sr.inf Copier/coller ce qui suit dans le bloc notes, sans ligne blanche au début. Enregistrez sur le bureau sous restau.reg. Cliquez droit sur le fichier ->fusionner Acceptez la modification du Régistre: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSaveSettings"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr] "Type"=dword:00000002 "Start"=dword:00000000 "ErrorControl"=dword:00000001 "Tag"=dword:00000004 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\ 00,00,00 "DisplayName"="Pilote de filtre de restauration systèmer" "Group"="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters] "FirstRun"=dword:00000000 "DontBackup"=dword:00000000 "MachineGuid"="{EAAFAEEC-4AFE-42BE-83D9-C12FDD4942A6}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum] "0"="Root\\LEGACY_SR\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] Il arrive avec Kaspersky pro qu'il faille décocher "technologie Istream" D'autres pistes: http://www.hotline-pc.org/restauration.htm#0201 La fonction Rechercher est absente ou défectueuse: 1) Poste de travail->Outils->options des dossiers->Affichages->Afficher Fichiers et dossiers cachés Afficher les dossiers et fichiers cachés et système Ouvrir le dossier "\Windows\Inf" (Dossier système caché par défaut) Faire un clic droit sur le fichier "srchasst.inf"->Installer". Démarrer->Exécuter Taper regsvr32 %systemroot%\srchasst\srchui.dll Taper regsvr32 jscript.dll 2)Démarrer-> Exécuter-> regedit ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}. Éditez la valeur chaîne (par défaut) puis saisissez ceci : Search Results Folder 3)A la clé: HKCU\software\microsoft\windows\currentversion\policies Si vous voyez la clé "NoFind", supprimez la. Vous avez rechercher quand vous voulez Ouvrir ou Explorer un dossier ou un fichier 1)Démarrer > Exécuter > regsvr32 /i shell32.dll valider 2) Copiez-Collez dans le bloc-notes ce qui suit,enregistrez avec extension.reg et fusionnez. Pas de ligne blanche avant ce qui suit. Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Directory\shell] @="none" [HKEY_CLASSES_ROOT\Drive\shell] @="none" [HKEY_CLASSES_ROOT\Folder\shell] @="open" Vous ne voulez pas du chien Exécuter->regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState Clic sur CabinetState Dans le panneau de droite: Pour ne plus avoir l'assistant(le chien) créer une valeur chaine Use Search Asst et donnez lui pour valeur no. Pour retrouver le chien donnez pour valeur yes ou supprimez la clé Use Search Asst

Bonsoir, Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes. * Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident... Si vous utilisez Spybot Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:! Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. Si vous êtes Sous Vista: Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite): http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html - Démarrer puis panneau de configuration->"Comptes d'utilisateurs" - Cliquer ensuite sur désactiver et valider. Télécharger Navilog1 . et enregistrez-le sur le bureau. Ensuite double cliquer sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur". Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur: 1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés. 2. Sur l'onglet Raccourci, cliquez sur avancé. 3. Activez la case à cocher suivante : "Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés" Si cela ne s'exécutait pas: Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel Réessayer Au menu principal, Faire le choix 1 Suivre les instructions et patienter jusqu'au message : *** Analyse Terminée le ..... *** Enregistrer le rapport pour pouvoir le poster Ensuite lancez l'option 2 Le fix vous informe qu'il va redémarrer le PC Fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts Appuyer sur une touche comme demandé. (si le Pc ne redémarre pas automatiquement, Redémarrer) Au redémarrage du PC, choisir la session habituelle. Patienter jusqu'au message : "*** Nettoyage Terminé le ..... ***" Le bloc-notes va s'ouvrir. Sauvegarder le rapport de manière à le retrouver Refermer le bloc-notes .Le bureau va réapparaitre Démarrer -> panneau de configuration -> options internet Cliquer sur l'onglet "Contenu" puis onglet "Certificats" et si vous trouvez ceci, en particulier ,dans "éditeurs approuvés" : electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd" => Supprimez-les tous PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches. Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter" Taper explorer et valider. Postez les 2 rapports Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas) Si c'est fait ou que vous êtes seul utilisateur: Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1 Ensuite supprimer ce dossier : C:\Program Files\navilog1

bonsoir, Il faut de temps à autre purger la restauration système , où se trouve le malware.

Désinstallez Combofix: Démarrer > Exécuter ->combofix.exe /u Valider par OK ComboFix démarre et affiche un message disant que ComboFix est bien éliminé: cliquer sur OK. Réinstallez le et lancez la procédure proposée à 10.55.

Vous avez fait un couac: vous auriez du avoir: c:\users\Tiflo\Desktop\CFScript.txt * Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas ! Enregistrez-le en lui donnant le nom CFScript.txt

Bonjour, C'est suicidaire d'utiliser Combofix sans le connaitre ! Combo, Nettoyage Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !) Connecter tous les disques amovibles (disque dur externe, clé USB…). Dans certaines circonstances , le Mode sans échec peut être nécessaire Ouvrez Combofix # Dans le bloc-note ,copiez-collez ces lignes : KillAll:: File:: G:\iqosrtk.bat Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bb6aaa0-29a0-11de-a322-00173f9b87aa}] * Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas ! Enregistrez-le en lui donnant le nom CFScript.txt * Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe * Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider. * Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne toucher à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poster son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Bonjour, Oui, ce serait bien car votre rapport est muet .

Bonjour, Votre rapport est propre. Sans doute parce que vos protections sont efficaces. Vous pourriez préciser les conditions dans lesquelles vous trouvez ce malware ?

Bonjour, Combo, Nettoyage Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !) Connecter tous les disques amovibles (disque dur externe, clé USB…). Dans certaines circonstances , le Mode sans échec peut être nécessaire Ouvrez Combofix # Dans le bloc-note ,copiez-collez ces lignes : KillAll:: File:: c:\windows\system32\GameMon.des c:\windows\TEMP\TMP00000001D8D8941F6E6860A0 Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7775c05c-f38b-11dd-b9fc-002269c383ea}] * Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas ! Enregistrez-le en lui donnant le nom CFScript.txt * Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe * Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider. * Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne toucher à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poster son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Bonsoir, Téléchargez Malwarebytes' Anti-Malware (MBAM) [branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc) Si vous utilisez Spybot Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:! Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. * Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation. Enregistrez le sur le bureau . Fermer toutes les fenêtres et programmes Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet) N'apportez aucune modification aux réglages par défaut et, en fin d'installation, Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. cliquer sur OK pour fermer la boîte de dialogue.. Si la mise à jour automatique échouait pour une raison quelconque,par exemple une installation de Mbam sur clé usb, Téléchargez la mise à jour ici double-cliquer sur le fichier mbam-rules.exe pour installer la mise à jour * Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour: Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez. * Une fois la mise à jour terminée, allez dans l'onglet Recherche. * Sélectionnez "Exécuter un examen complet" * Cliquez sur "Rechercher" * .L' analyse prendra un certain temps, soyez patient ! * A la fin , un message affichera : L'examen s'est terminé normalement. *Si MBAM n'a rien trouvé, il le dira aussi. Cliquez sur "Ok" pour poursuivre. *Fermez les navigateurs. Cliquez sur Afficher les résultats . *Sélectionnez tout et cliquez sur Supprimer la sélection , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs. * Copiez-collez ce rapport dans la prochaine réponse.

Dans ce cas , vous n'aurez pas accès à la console si elle n'est pas installée. Mais ce n'est pas le sujet du moment

Chou blanc! Vous allez télécharger Combofix. Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles. Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours. Avant de l'installer,vous pourriez lire ce Mode opératoire: Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire. La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation). Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage. C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise. Après installation,vous devriez voir ce message: The Recovery Console was successfully installed. La console de Récupération Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération, D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée C'est pourquoiil vous est instament conseillé d' installer d'abord la Console de Récupération sur le pc . Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista) Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection. Si c'est déjà fait, passez au point 2). * Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page: cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau: Ne modifiez pas le nom du fichier Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2 * Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe * Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft. * Lorsque ce sera terminé, un message vous dira que la Console a bien été installée puis un rapport nommé CF_RC.txt va s'afficher: postez en le contenu . Télécharger combofix.exe de sUBs et sauvegardez le sur le bureau Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig Cela est absolument nécessaire au succès de la procédure. Bien évidemment, vous les rétablirez ensuite. Connecter tous les disques amovibles (disque dur externe, clé USB…). *Double cliquer sur combofix.exe pour le lancer. Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme! Pour lancer le scan * Taper sur la touche 1 pour démarrer le scan. Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas, Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme. * Le scan pourrait prendre un certain temps:Soyez patient! A la fin,,un rapport sera généré : postez en le contenu dans un prochain message. * Si le rapport est trop long, postez le en deux fois. Il se trouve à c:\combofix.txt

Bonsoir, je n'ai rien vu de particulier dans le rapport. La piste suivie par Maybe semble prometteuse.

Bonsoir, process.exe, dans Smitfraudfix, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. # Vous devez donc désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes. * Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident... Si vous utilisez Spybot Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:! Afficher d'abord le Mode Avancé dans SpyBot ->Options Avancées : - >menu Mode, Mode Avancé. Une colonne de menus apparaît dans la partie gauche : - >cliquer sur Outils, - >cliquer sur Résident, Dans Résident : - >décocher Résident "TeaTimer" pour le désactiver. [ b]Si vous êtes Sous Vista:[/b] Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite): http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html - Démarrer puis panneau de configuration->"Comptes d'utilisateurs" - Cliquer ensuite sur désactiver et valider. Sous Xp, vous faites la suite. Télécharger SmitfraudFix sur le Bureau Miroirs: si vous avez un problème pour télécharger, utilisez ces sites miroirs officiels qui hébergent aussi la dernière version: http://siri.geekstogo.com/SmitfraudFix.exe http://downloads.securitycadets.com/SmitfraudFix.exe option 1 - Recherche : Double cliquer sur smitfraudfix.exe Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. option 2 -Nettoyage : Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ). Double cliquer sur smitfraudfix.exe Sélectionner 2 pour supprimer les fichiers responsables de l'infection. A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. Redémarrer en mode normal et poster le rapport sur le forum. N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1 Attention que l'option 2 de l'outil supprime le fond d'écran ! Poster le rapport(c:\rapport.txt)

Ce sont donc bien de faux positifs. Remplacez donc A-squarred !

Ah bon ? Le premier: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:04:09 PM, on 4/16/2009 le dernier: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:04:09 PM, on 4/16/2009